香港の民主化運動に関連して、大勢の人々のiPhoneやMacがハッカーに狙われている

今年7月にロンドンで実施された香港の民主化運動のデモの様子。いまも世界各地で活動が展開されている。

巧妙なハッカーによってmacOSとiOSの欠陥が利用され、香港を拠点とするメディアや民主主義推進派のウェブサイトにアクセスしたアップル製端末に、マルウェアがインストールされていたことが明らかになった。香港の国家安全維持法への対応は、テック企業にとって「運命の分かれ道」になるこれは「水飲み場型攻撃」と呼ばれる手法で、遅くとも8月下旬以降には実施されていた。不運にも被害に遭ったウェブサイトにアクセスしたiPhoneやMacに無差別にバックドアを仕掛けるもので、その攻撃対象は広範囲に及んでいる。この攻撃の展開を許したさまざまなバグを、すでにアップルは修正した。しかし、グーグルのThreat Analysis Group（TAG）が11月11日（米国時間）に発表したレポートは、ハッカーたちがいかに攻撃的で、対象が広範囲に及んでいたのかを明らかにしている。

複数の脆弱性を連鎖

今回の攻撃は、これまで公開されていなかったシステムの脆弱性（ゼロデイ脆弱性）を攻撃者が悪用した事例のひとつだ。もっとも、背後に国家の影が見え隠れする今回の攻撃者グループは、ジャーナリストや反体制派のように価値の高い人物を狙った標的型攻撃ではなく、攻撃規模を重視している。グーグルのTAGのレポートによると、今回の攻撃は「メディアや有名な民主主義推進派の労働・政治団体」の香港のウェブサイトの侵害に重点を置いたものだ。これらのサイトをハッカーがどのように侵害したのかは不明である。だが、ウェブサイト経由で配布されたマルウェアは、被害者の端末にいったんインストールされるとバックグラウンドで動作し、ファイルのダウンロードやデータの流出、画面のキャプチャー、キー入力履歴の記録、音声の録音といった操作を実行できた。さらに、被害者の端末を識別するための“指紋”となるデータを生成している。iOSとmacOSへの攻撃はアプローチが異なるものの、いずれも複数の脆弱性を連鎖させることで、攻撃者が被害者の端末を制御してマルウェアをインストールできるようにするものだ。TAGはiOSの脆弱性の連鎖を完全に分析することはできなかったが、攻撃の実行に利用された「Safari」の主要な脆弱性は特定している。例えばmacOSでは、WebKitの脆弱性とカーネルのバグが悪用されていた。これらはすべて今年になってアップルが修正を終えている。今回の攻撃に使われたmacOSの脆弱性は、Pangu Labが4月と7月のカンファレンスで発表したものだ。Pangu Labの研究者たちは、今回の水飲み場攻撃で標的に送信されたマルウェアが精巧につくられたもので、「大規模なソフトウェアエンジニアリングの成果と考えられる」点を強調している。このマルウェアはモジュール化された設計になっており、これは複数の攻撃を実施する際に異なるコンポーネントを異なるタイミングで展開できるようにする目的とみられる。