イスラエルで最も秘密に包まれたサイバー兵器企業? 顧客は各国の警察や情報機関? ジャーナリストや政治家に対する監視に使われている? NSOに次ぐイスラエルのスパイウェア企業Candiru(カンディル)について紹介します。
スパイウェア企業が国際問題となっている
スパイウェア企業が
国際問題となっている
2021年、国連アムネスティ・インターナショナル、報道機関や学術機関などと協力するNPO(非営利団体)、Forbidden Storiesが、イスラエルのソフトウェア企業NSO Groupを告発しました。
NSO Groupは、2010年に設立されたイスラエル企業で、政府や各国の司法機関・情報機関などを対象に、スパイウェア「Pegasus」を販売していました。
Pegasusは、モバイル機器に不正にインストールさせ、対象を監視することができるプログラムです。
告発プロジェクト「The Pegasus Project」によれば、スパイウェア「Pegasus」は、各国政府によって、自国民の監視や盗聴、弾圧に用いられているとのことでした。ターゲットは主に、マスメディア、ジャーナリスト、人権活動家、経営者、政府関係者であることが明かされました。
特に2018年、サウジアラビアのジャーナリスト、ジャマル・カショギ氏がサウジ王室の指示で拷問・暗殺された事件では、カショギ氏の妻や知人のスマホにPegasusスパイウェアが仕掛けられていたことも発覚しています。
一連のスキャンダルを受けて、2021年11月、米商務省はNSO Groupなど、各国のスパイウェア開発企業4社を輸出管理対象に追加しました。この措置により、米国企業はNSO Groupと取引ができなくなりました。
この制裁措置を受けた企業の中に、イスラエル企業のCandiruも含まれていました。
本記事では、トロント大学の研究所Citizen Labのレポートやニュース記事を参考に、謎に包まれたサイバー兵器企業Candiruを紹介します。
スパイウェアとはそもそも何か
スパイウェアとはそもそも何か
本項では、セキュリティベンダーKasperskyの定義を参考に、スパイウェアが何かを簡単に説明します。
スパイウェアは、PCやモバイル機器などに侵入し、ユーザーの同意なしにデータを収集、第三者に転送するように設計された悪意のあるソフトウェアの総称です。
スパイウェア自体は、広告・マーケティングの用途などでも幅広く使われており、その中でも、ユーザーのデータを盗むことで利益を得る目的のプログラムが、悪意のあるスパイウェアだと考えられています。
スパイウェアは通常、次の3ステップを経て活動します。
- 浸透……偽インストールパッケージや、悪性ウェブサイト、あるいはソフトウェアの脆弱性などを通じて、スパイウェアをインストールします
- データの監視と捕捉……画面、キーボード入力などを記録します
- 盗んだデータの送信……スパイウェア運用者に、データを送信します
ターゲットに潜伏したスパイウェアは、次のようなデータを取得します。
- ログイン情報……ユーザー名とパスワード
- PIN
- クレジットカード情報
- キーボード・文字入力情報
- ブラウザ閲覧履歴
- メールアドレス
参考:https://www.kaspersky.com/resource-center/threats/spyware
イスラエル企業Candiruについて
イスラエル企業
Candiruについて
秘密に包まれた、イスラエル・サイバー軍と関係の深い企業
Candiru社は、2014年、イスラエルのテルアビブで設立されました。
名前の由来は、アマゾン川流域に生息するナマズの仲間、肉食淡水魚で、人間の性器から体内に侵入する獰猛な魚として恐れられています。
設立者たちは、同業他社のNSO Group創設者あり、出資元もNSO Groupと重複しています。Candiru社は主にイスラエル国防軍のサイバー部隊である第8200部隊出身者を採用していると考えられています。
Candiru社は非常に秘密主義的な会社であり、職員には厳しい秘密保持契約が課され、LinkedInなどで在職を明らかにすることも禁じられています。
Candiru社はWebサイトを保有しておらず、また登記名も以下のとおり頻繁に変更しています。
- Candiru Ltd
- DF Associates Ltd
- Grindavik Solutions Ltd
- Taveta Ltd
- Saito Tech Ltd
- Greenwick Solutions
- Tabatha Ltd
同社は2016年頃から、外国政府などを顧客にスパイウェアの販売を始め、売り上げを増大していきました。
報道では、2019年時点での年商3000万ドル、企業の市場価値は9000万ドルに達しています。
Candiru社製品の顧客は政府の法執行機関や情報機関で、監視行為やサイバー攻撃作戦に対するサポートを提供しています。
顧客はグローバル
これまで調査や報道などで明らかになった顧客は以下のとおりです。
2019年、Kaspersky社のレポートにより、ウズベキスタンの国家警察機関がCandiru社製品を導入していることが明らかになりました。
同レポートでは、サウジアラビアとアラブ首長国連邦(UAE)も同じくCandiru社製品の顧客であることに言及しています。
同年、Intelligence Onlineが、シンガポール秘密警察との取引を報じました。
2020年、カタール政府と密接に関係のある投資ファンドがCandiru社と接触したとIntelligence Onlineが報じました。
他にも、Candiru社製スパイウェアの感染状況を確認したところ、イスラエル、インドネシア、イラン、ハンガリーも関与しているのではないかと推測されています。
ターゲットは市民社会
顧客となっている国のほとんどは、国の警察や情報機関をコントロールする強力な法的規制を持っておらず、また人権に関する規定も不足しています。
このため、民間スパイウェア製品は市民社会を監視・弾圧する方向に使われることがほとんどです。
ターゲットは、ジャーナリスト、政治的ライバル、人権活動団体などが多数含まれています。
Candiru社製スパイウェアの仕組み
Candiru社製スパイウェアの仕組み
本項では、Candiru社製スパイウェアが実際にどのような製品なのかを紹介します。
対象はPCとモバイル機器、クラウドアカウント
Candiru社製スパイウェアの対象は、iPhone、Android、Windows、Mac、クラウドサービスのアカウントです。
ターゲットの機器にスパイウェアを仕掛ける方法はいくつかあり、暴露されたセールス資料に掲載されています。
- 悪意のあるリンク
- MITM攻撃(Man in the Middle Attack、中間者攻撃)……通信に割り込み改ざん・盗聴
- 悪性のOfficeファイル
- ゼロクリック攻撃……ユーザーの操作を必要とせずデバイスを感染させる
またセキュリティ企業や研究者の調査で、Google Chormeのゼロデイ脆弱性や、Microsoft Officeの脆弱性も利用していたことが判明しています。
ターゲット機器に感染し、スパイ活動を実行
標的のPCやスマートフォンに潜入したスパイウェアは様々な活動を行います。こうした活動は、感染機器の通常の動作を妨げることなく実施されます。
- アカウント情報窃取……Gmail、Skype、Telegram、Facebook、Signal
- ブラウザ閲覧履歴の取得
- パスワードの取得
- ウェブカメラやマイクを遠隔操作
- スクリーンショット撮影
- 感染したネットワークの構成図を取得
- 感染した機器のアカウントからメール送信・SNSでのメッセージを送信
- 盗んだデータを送信
さらに追加料金を払えば、ターゲット機器を遠隔操作できる機能(Remote Shell)も利用可能です。
スパイウェアのインフラ ――偽サイト
スパイウェアは単独で機能するわけではなく、ターゲットを誘導し感染させるためのサーバや、スパイウェアと通信するためのサーバ(C2サーバと呼ばれます)とあわせて運用されます。
このような環境をインフラストラクチャといいますが、以下は、ターゲットを誘導するために使われていた偽Webサイトの一例です。
- メディア:CNN、Euronews
- 人権団体:アムネスティ・インターナショナル、Black Lives Matter
- IT企業:Microsoft、Google、Apple、Amazon、Zoom
- SNS:YouTube、Facebook、Instagram、LinkedIn、Twitter
- その他:Wikipedia、WHO、VISA
Candiru社にまつわる論争
Candiru社にまつわる論争
2021.7 MicrosoftがDevilsTongueマルウェアの犯人を名指し
Microsoftのセキュリティチームは、Windowsのゼロデイ脆弱性を修正するとともに、協力者であるCitizen Labは、この脆弱性を悪用していたDevilsTongueマルウェアの運用者が、イスラエルの企業Candiruであることを指摘しました。
2021.11 米商務省の輸出管理対象リストに追加
本記事の冒頭に書いたとおり、事態を考慮した米商務省は、Candiru社含む4社を輸出管理対象リストに追加し、米国企業との取引を禁じました。
その理由は次のとおり書かれています。
- 当該対象が、米国の国家安全保障および外交政策の利益に反する活動に関与、または関与する重大なリスクをもたらしていると判断した。
- 具体的には、イスラエルの2社(NSO GroupとCandiru)は、政府関係者、ジャーナリスト、ビジネスマン、活動家、学者、大使館員を悪意を持って標的とするスパイウェアをツールを開発し、外国政府に提供した。
2021.11 英国と中東諸国Webサイトに対する攻撃が発覚
間もなく、スロバキア発のセキュリティ企業ESETが、Candiru社によるWebサイト攻撃の痕跡を発見、発表しました。
攻撃は「水飲み場攻撃」(Watering Hole Attack)と呼ばれるもので、ターゲットが関心を持つWebサイトを改ざんし、ターゲットがアクセスしたときに不正アクセスを行う手法です。
攻撃を受けたのは、英国で運営される中東ニュースサイト「Middle East Eye」や、中東諸国の政府機関関連Webサイトでした。
イスラエル国防軍関係者からの反論
NSO GroupやCandiruが国際的な非難を浴びる一方、こうしたスパイウェア企業を弁護する意見もあります。
元イスラエル国防省研究開発部長・現テルアビブ大学サイバーセキュリティ研究センター長のBen-Israel退役陸軍少将は、タイムズオブイスラエル紙で、次のように述べています。
「イスラエルでは、サイバー攻撃製品を輸出するには、政府の許可が必要である。よって、顧客がスパイウェアを非人道的な目的や、人権侵害のために利用したとすれば、それは政府の判断が甘かったのである」
「民主主義社会では、犯罪者やテロリストを監視・追跡するツールは絶対に必要である。そのようなツールがない社会では誰も生活したくない」
Ben-Israel氏は、スパイウェアはより基準を厳格化し、運用されるべきだと主張します。
Citizen Labからの警告
NSO GroupやCandiruを調査したカナダ・トロント大学の研究機関Citizen Labは、適切な基準が存在しない限り、スパイウェア市場は、人権侵害を助長するだろうと警告しています。
Ben-Israel氏と同じく、イスラエルの輸出許可制度がほぼノーチェックである点を批判しています。
また、Candiru社は、自社スパイウェアを「追跡・検知不能」とPRしていましたが、セキュリティ企業や研究者の力によって、スパイウェアの存在を探知可能であることが明らかになりました。スパイウェア企業とその顧客は、監視ツールの利用をめぐるレピュテーション(社会的信頼・評判)を考慮する必要があります。
まとめ
- Candiru社はNSO Groupに次ぐイスラエルのスパイウェア企業だが、創業者や資本はほぼ共通
- Candiru社製スパイウェアは、ターゲットに気づかれることなくPCやスマホに潜入、あらゆるデータを監視・窃取できる
- Candiru社製スパイウェアの利用が判明しているのはウズベキスタン、サウジアラビア、UAE、シンガポール
- Candiru社製スパイウェアはそのほとんどが政治的弾圧に使われており、標的はジャーナリスト、メディア、人権活動家、政治的ライバル、学術機関など
- 2021年11月、米政府はNSO GroupとCandiruを輸出管理対象に追加、米国企業との取引を禁止した
本記事では、イスラエル・サイバー企業Candiruとその製品について紹介しました。
イスラエルは国を挙げてサイバーセキュリティ産業を振興しており、サイバー攻撃兵器もその1つです。
皆さんは、こうした監視ツールを規制すべきだと思いますか?
インターネットにおける自由と統制の問題は、黎明期から続いています。
本ブログでは、今後もサイバー兵器について紹介していきます。