フォースの暗黒面

今回は、いわゆるリーガルマルウェアの暗黒面の話です。

さて、リーガルマルウェアとはなんでしょうか。こちらの記事より、それっぽい説明を拝借しますと、

「法執行機関（例えばアメリカなら警察やFBIのような組織）向けに、個人や組織から情報を収集する機能などを持つプログラム」

とのことでした。（さすが、高橋先生、すでにご登壇）

「悪いマルウェア」との違いは、使う人・目的が違うことがポイント？というところでしょうか。

そもそも、マルウェアの利用目的を、教科書的な分類で確認してみると、以下の4つくらいに分類できそうです。

• （作成者のスキルの高さをアピールするなど）自己顕示欲を満たすことやいたずらを目的としたもの
• Wannacryなどの金銭の不正取得を目的としたもの
• ハクティビストと呼ばれるもの達が自分たちの主義主張を広めることを目的としたもの
• 日本年金機構事件やStuxnetなどの国家支援（が疑われる）型サイバー攻撃を目的としたもの

これらに加えて、第5の軸として、リーガルマルウェアがあると言えるかもしれません。

政府御用達マルウェア（goverment exclusive malware）とも呼ばれ、通常は、法を犯さないことを前提とし、犯罪捜査や政府の諜報活動などを含めたごにょごにょを支援することを目的としたソフトウェアです。

しかしながら、リーガルマルウェアを人権侵害が疑われる目的で利用するケースが報告されております。

Pegasusについて

今回は、カナダのトロント大学になるシチズンラボが行なった調査報告書[1][2]を内部の勉強会で読んだので、それらについての簡単なご紹介します。
追記（2019/05/15）：シチズンラボの調査記事「ワッツアップ」にサイバー攻撃、監視技術悪用 人権団体標的か

これらの調査は、Pegasusというリーガルマルウェアが悪用されていることを暴いた興味深いものです。

Pegasusの特徴は以下です。

• 某国企業が販売しているリーガルマルウェア
• ゼロデイ攻撃でターゲットの端末にPegasusを感染（インストール）させる
• 感染した端末の周りの音声・動画を撮影、通話の記録、位置情報の取得などが可能（図１参照）
• クラウドに遠隔操作用C&Cサーバのインフラストラクチャが構築されていた
• 調査した2年（2016年から2018年）で、1091のIPアドレスと1014のドメインを使っていた
• インフラストラクチャのフロントエンドサーバからバックエンドサーバへ中継してC&Cサーバへの接続

図１ 感染端末で取得可能な情報 （[2]より引用）

調査結果

調査の結果、45カ国でPegasusシステムが36個使われていたことが判明したそうです。日本での観測はないようです。（図２参照）

図２ Pegasusの活動が疑われる地域 （[2]より引用）

また、調査によると、政府の権力者が、自身への政治的脅威となる人たちの監視目的で使用していた（ことが疑われる）とのことでした。

ターゲットは、弁護士、ジャーナリスト、人権擁護家、（ライバル）政治家、腐敗防止支持者などであったそうです。

Pegasusの開発・販売する会社としては、合法利用を想定しているのでしょう。しかし、そうでない利用もあるようです。

高度な解析によって始めて、悪用の実態が知らしめられたことを考えると、リーガルマルウェア、使い方によっては、とても恐ろしいものです。もはや、このあたりは、単なる技術論ではありませんね。

2019/05/08

Thanks、北條君、鈴木君、宇佐美君、田中君

[1] Bill Marczak, John Scott-Railton, and Ron Deibert. “NSO Group Infrastructure Linked to Targeting of Amnesty International and Saudi Dissident,” Citizen Lab Research Brief №110, July 2018.

[2] Bill Marczak, John Scott-Railton, Sarah McKune, Bahr Abdul Razzak, and Ron Deibert. “Hide and Seek: Tracking NSO Group’s Pegasus Spyware to Operations in 45 Countries,” Citizen Lab Research Brief №113, September 2018.