ゼロクリック攻撃

ゼロクリック攻撃の概要

名前が示すとおり、このランサムウェア攻撃は、所有者や管理者の介入なしにスマートフォンやデバイスを掌握します。ゼロクリック攻撃は、現在存在するOSの脆弱性を突くことで実現されるため、フィッシングやスパムなどの社会的手法に頼る他の攻撃パターンとは対照的です。

これは、脆弱性が存在し現状システムに利用され、即時に修正が必要とされるゼロデイサイバー攻撃と似ている部分もありますが、ユーザーの操作を必要としません。ゼロクリック攻撃は、技術に詳しい利用者でさえ、何の操作もせずにデバイス間の通信情報を明かさせる可能性があります。

これらは検知が極めて困難なため、特に危険です。攻撃者はたった一度、スマートフォンに攻撃コードを送信するだけで、操作やタッチを求めることなく侵入が可能です。多くの場合、被害者は異変に気付かないため、攻撃者は時間をかけてデバイスを監視することができます。

攻撃者の視点から見ると、ゼロクリック攻撃の妙は、成功確率が低い社会的操作や『スプレー・アンド・プレイ』といった手法に頼る必要がない点にあります。

‍

ゼロクリック攻撃の仕組み

スマートフォンを遠隔操作する多くの手法は、フィッシングなどの社会的操作を利用して利用者に有害なリンクをクリックさせたり、悪意ある添付ファイルを開かせたりします。その結果、デバイスにはアドウェアが感染し、悪質なプログラムが実行される恐れがあります。

ゼロクリックの脆弱性はユーザーの介入なしにコードを実行することを目的としているため、正確に動作させる必要があります。多くの攻撃は、誤った入力を処理・受け入れるソフトウェアの隙を突いて設計されています。よく見られる例としては、SMSやその他のメッセージングアプリ、メールアプリ、スマートフォン用のアプリが挙げられます。

このようなアプリは、信頼できない情報源からデータを集め、利用者に表示する前に即座に処理を行います。もしデータ処理のコードに脆弱性があれば、慎重に作られたテキストを利用してその穴を突き、悪意あるメッセージや通話がデバイス上で有害なコードを実行する可能性があります。  

メールやテキストの受信などでは、利用者の操作は必要ありません。スマートフォンは、利用者が開封する前にメッセージの内容に応じた通知を表示するためです。巧妙に作成された悪意あるメッセージは、アップデートの無効化や自己停止、ランサムウェアの拡散を引き起こし、結果として侵入が発生しても利用者に気付かれないことがあります。

ゼロクリック攻撃の実例

これらのゼロクリック攻撃は、日常的に発生する他のサイバー犯罪と比べ、架空や稀なものではありません。こうした攻撃の実例として、以下の現実の例が挙げられます。 

1. WhatsApp

2019年、WhatsAppメッセンジャーにゼロクリック攻撃の脆弱性が発見されました。この攻撃は、不通の着信をきっかけに、WhatsAppのコンパイル済みコードの穴を突くものでした。 

不通の着信により発生したデバイス間の個人情報の交換にスパイウェアを混入させるため、攻撃者はこれまで発見されていなかったゼロデイ脆弱性を利用しました。インストールされると、アドウェアは信頼できるバックグラウンド情報の提供元を装い、利用者に攻撃者側の電話データへのアクセスを許可しました。この攻撃は、イスラエルのNSO Groupによるものとされています。

2. Apple

2021年、バーレーンの人権抗議者のiPhoneが、強力なアドウェアによって侵入されました。Citizen Labの研究者は、Appleが用意した防御策を突破するセキュリティの穴を発見しました。

カナダのトロント大学に拠点を置くCitizen Labは、抗議者のiPhone 12 Proを調査し、ゼロクリック攻撃が利用されたことを確認しました。AppleのiMessageにある不具合を突かれ、端末はPegasusマルウェアに感染しました。このマルウェアは、イスラエルのNGO Groupによって作成されたものです。

今回の攻撃では、Appleが2021年5月に発表したiOS 14.4および14.6の脆弱性が利用されたため、多くのメディアで注目されました。最新のiOSに組み込まれたウイルス対策技術『BlastDoor』を突破したことで、この攻撃はForcedEntryと呼ばれました。iOS 15では、Appleが防御策を強化しています。

3. Project Raven

Project Ravenは、契約ベースのアラブ首長国連邦の警察官と、引退した米国の専門家で構成される敵対的攻撃チームの名称です。彼らはKarmaと呼ばれるプログラムを用い、iMessageの脆弱性を突いたとされています。Karmaは、研究者、大使、その他国際的な関係者のiPhoneに侵入し、画像、テキスト、メール、位置情報にアクセスしました。

4. Jeff Bezos

2018年、サウジ皇太子ムハンマド・ビン・サルマンからのWhatsAppメッセージを受け取った後、AmazonのCEOであるJeff Bezosのメッセージ、インスタントメッセンジャー、さらには音声ファイルまでもがiPhoneのマイクで記録されました。貴社は、他者とWhatsAppのユーザー名を共有する前に十分な信頼性を確認すべきです。 

WhatsAppの通信に含まれる動画内のマルウェアにより、攻撃者は端末内のデータにアクセスできるようになりました。この侵入は、BezosのiPhoneに数ヶ月間影響を及ぼしました。

Wallarmは、2008年から現在に至るデータ侵害のプロジェクトを実施している。

ゼロクリック攻撃の防止策

ゼロクリック攻撃は、その巧妙さゆえに被害に遭った場合、防ぐのが非常に難しいです。決して安心材料ではありませんが、ゼロクリックの脆弱性を突かれたからといって、全く防止のための手段がないというわけではありません。 

いくつかの対策を講じることが可能ですが、これらはゼロクリック攻撃専用というよりも、全般的な安全対策として推奨されるものです。以下は、デジタルセキュリティを守るための主な予防策です。

• 使用していないアプリは、特にメッセージングアプリを、すべて端末から削除する必要があります。
• また、スマートフォンの「脱獄」や「積極的な調査」は避ける必要があります。これにより、iOSやAndroidに組み込まれた様々な保護機能が無効化される恐れがあります。
• 定期的に全端末のバックアップを取得することをお勧めします。万一、デバイスが侵された場合でも、元の状態に戻すことが可能です。
• 各端末のOS、ファームウェア、アプリが最新状態であることを確認してください。セキュリティパッチが提供されたら、即時に適用するようにしてください。
• 全てのログインで強固なパスワードを設定する必要があります。
• ウェブブラウザのポップアップを無効にしてください。万一表示された場合でも、クリックしないようにしてください。ポップアップは悪意ある者がアドウェアを拡散する際によく利用される手法です。
• 信頼できる認証済みの店舗からのみアプリを入手するようにしてください。正しく評価されたアプリは、安全性の向上に寄与します。
• 複数要素認証を利用して、各アカウントへのアクセスを保護してください。
• 防御策として、入り口のファイアウォールを有効にしてください。主要なOSには標準でファイアウォールが搭載され、業務用ルーターにもNATファイアウォールが備えられています。これらが有効になっているか確認し、不正なリンクをクリックした際に大きな防御効果を発揮できるようにしてください。

‍

結論

ゼロクリック攻撃は、家庭用や企業のネットワークにおいてデバイスの守るを深刻に脅かす可能性があります。しかし、公式な標的となるケースが多いため、通常の利用者が過度に心配する必要はありません。それでも、端末に普段と異なる動作が見られた場合は、注意を払うことが賢明です。