WikiLeaks の Vault 7 プロジェクトが Android SMS 盗聴マルウェアを暴露

2017.07.27

WikiLeaks は 3 月に Vault 7 プロジェクトを開始して以来、Microsoft(リンク先:英語) と Apple の技術を利用しようとする CIA の取り組みを説明した文書を掲載し続けています。今週公開された最新版では、CIA が Android デバイスを攻撃するのに使用した HighRise(リンク先:英語) というマルウェアに焦点を当てています。


WikiLeaks の Web サイトは、HighRise について次のように説明しています。


HighRise は、Android 4.0~4.3 で実行されるモバイルデバイス用に設計された Android アプリケーションです。インプラントとリスニングポスト間の通信に SMS メッセージを使用する多くの IOC ツールで使用可能な SMS メッセージング向けのリダイレクト機能を提供します。
HighRise は、インターネットリスニングポスト (LP) の「着信」SMS メッセージと「発信」SMS メッセージをプロキシすることで、フィールド内のデバイス (「ターゲット」) と LP 間の分離を強化する SMS プロキシとして機能します。
HighRise は、TLS/SSL で保護されたインターネット通信を使用して、HighRise フィールドオペレータと LP 間の通信チャネルを提供します。


2013 年 12 月 16 日付の HighRise ユーザーガイド(リンク先:英語)によれば、HighRise はターゲットのデバイスに手動でインストールし、手動でセットアップする必要があります。apk がターゲットデバイスにインストールされると、TideCheck というアプリケーションがデバイス上のアプリリストに表示されます。


HighRise は TideCheck に組み込まれており、エージェントがプロセスを開始するにはこのアプリを開く必要があります。
続いて、このアプリのアクティベーションコードを要求しているように偽装されたテキストボックスに「inshallah」 (アラビア語で「神がお望みならば」) という単語が入力されると、特殊なコードが実行されます。すると、エージェントはアプリの設定へのアクセスが可能になります。


初回インストール後、HighRise はバックグラウンドで実行され、電話がオンになるたびに自動的にアクティベートされます。このアプリは継続的にテキストを傍受します。


これは強力なスパイツールですが、限界があります。まず、リモートからではなく手動でデバイスにインストールする必要があります。エージェントは、標的ユーザーのデバイスに物理的に接触しなければ、感染させることができません。


CIA が現在も HighRise を使用しているかどうかは不明です。


先月の「Cherry Blossom」ハッキングツールに続くリーク


今回のリークは、約 1 か月前の WikiLeaks による「Cherry Blossom」(CB) プロジェクトに関する情報公開に続くものです。


CB プロジェクトの『クイックスタートガイド』には、インターネット監視に関して次のように書かれています。


Cherry Blossom (CB) システムは、監視対象のインターネット活動を監視し、ソフトウェア攻撃を実行する手段を提供します。これらの目標を達成するため、特に無線 (802.11) ルーターやアクセスポイント (AP) などの無線ネットワーキングデバイスへの侵入に重点を置いています。


WikiLeaks によるリークにプラスの面はあるのか?


このようなリークは、他の攻撃者にツールが悪用されるという懸念を生じさせます。実際、先日発生した WannaCry および Petya の感染では、NSA (米国家安全保障局) が作成し、ハッキンググループ Shadow Brokers(リンク先:英語) がリークしたツールが悪用されていました。
Vault 7 の情報公開が始まった際、攻撃者以外の人々にとって何かメリットはあるのかという質問を複数のセキュリティ専門家に投げ掛けました。


Core Security で戦略担当バイスプレジデントを務め、現在は Edgile のマネージドリスクサービス担当ディレクターである Eric Cowperthwaite 氏は、当時この質問に葛藤していたと述べています。


Cowperthwaite 氏は次のように、Chelsea Manning 氏を例に挙げています。Manning 氏は米陸軍兵士で、数千件の軍および外交の機密/重要文書を WikiLeaks に提供し、スパイ活動法違反などの罪で 2013 年に軍法会議で有罪判決を受けた人物です。


プラスとマイナスの両方があります。Manning 氏がリークした情報の中には軍事作戦に影響を与えたものがあり、裁判でも問われました。その一方で、WikiLeaks は米国の情報機関のサイバー兵器が闇市場に流出していると主張しています。本当に CIA、NSA などの機関がサイバー兵器を正しく管理できないのであれば、そのことを市民は知るべです。


これは Android の古いバージョンを標的にしたエクスプロイトであり、新しいバージョンで機能する最新版のエクスプロイトが存在するかどうかは不明です。Naked Security ではこの問題に注目し続けていきます。


引用元

おすすめの記事はこちら