2012年10月31日水曜日

あなたの携帯電話やPCを介して情報収集するFinSpyやFinFisher、それは善か悪か?

  • このエントリーをはてなブックマークに追加
私たちは先日、ESET Blogの読者の方々が送ってくれた「英国籍のGamma Group社によって作成された"FinFisher"というソフトウェアは、幅広く携帯端末の制御ができます。それに含まれるのは、Apple社のiPhoneやResearch in Motion社のBlackBerry...」というBloomberg記事の冒頭を読みました。

また、読者の方からこの件に関するたくさんの質問をいただきました。要約すると「FinSpyは、どのような脅威で私たちは心配する必要がありますか?」というものです。今回はその答えをご提供しようと思います。

携帯端末だけでなくデスクトップおよびノートパソコン用の幅広い監視コードを含むFinFisherに責任をもつ会社であるGamma Group社としては、「法律に従う国民なら、私たちの製品に脅威は無いので、何も心配することがありません」と答える可能性が高いでしょう。

ここで、Gamma Groupサイトでの記述を紹介します。

「FinFisherの製品ポートフォリオを単独で、警察と情報機関に提供しています。」



■ FinFisherのような警察や情報機関に協力するソフトウェアをどう思いますか?

 "モバイル侵入ソフト"と呼ばれるものは、マルウェアの世界で「悪意のあるソフトウェアを、犯罪者をキャッチ(妨害)しようとするために使用できますか(使用するべきですか)?また、その技術が犯罪者の手に行きつくとどうなりますか?」という長年に渡る懸案を提起できます。

答えはおそらく、あなたがどのグループに属しているかに依存します。

IT管理者やアンチウイルスソフトウェアの開発者のように、マルウェアとの戦いに多くの時間と労力を費やしてきた人々は、認可なしに機密データにアクセスする、または、密かにインストールされたソフトウェアの良い面を見ることが難しいかもしれません。

例えば、私の同僚であるStephen Cobbは、国家主導のマルウェアであるStuxnetとFlameに関する文脈で数ヶ月前に「良いマルウェアなんて有りません。」という意見を述べています。

FinFisherの背後にいる英国籍のソフトウェア会社は、彼らの仕事が警察を助けていると主張する一方で、悪者のために技術を組み入れる可能性があるというものがあまりにもリアルです。私たちは数ヶ月前にブログで紹介したDarkComet RATに何が起こったのかについて考えてみましょう。

FinFisher同様、DarkComet RATは広範なスパイ機能を持っていて、作者は悪意を持っていないと主張しています。しかし、シリアのアサド政権の大量虐殺は、抑圧からの解放を求めるシリア人に対するDarkComet RATの使用が迅速だったのは事実です。


■ そう、あなたの携帯電話はあなたをスパイすることが可能なのです

では、何がGamma Group社の製品をスパイ可能なものにするのでしょうか?

彼らは本当に確かなことは言わないでしょうが、研究者は(サンプルを引き裂いた後)、ソフトウェアは少なくとも携帯電話に、会話を録音したり、位置をトラックしたり、電子メールを読んだり、電話通話を声に耳を傾けたり、SMSをキャプチャしたりすることを可能にすると言います。そして、それはデバイス上のカメラにも適用することができます。

どのデバイスが対象でしょうか?

思うに、Gammaは固有なものではなく、阻止しようとすることは技術のリバースエンジニアリングになるでしょう。研究者たちは、iPhoneとBlackberryのプラットフォーム上でそれを発見しましたが、それは他の携帯電話のOSで使用可能な場合があります。

技術的な観点からは、物理デバイスにどの位アクセスしているかに基づくと、上記のすべてのアクションは達成困難なものではありません。Stephen Cobbによると、米国のシークレットサービスはすでに90年代半ばに、遠隔操作や盗聴のために違法に再設計されていた普通の携帯電話のように見える「spyphones」を没収していました。悪者はターゲットの手にある電話を取得すればよかったのです(おそらく贈り物として。携帯電話のいずれの種類も当時高価だったので)。

今日、異なっていることは、a:一般的なスマートフォンでやり取りされる膨大な量の個人情報や推定される機密情報、b:Webサイトからスパイウェアをインストールさせるためにスマートフォンユーザーをだます能力の2点です。

さて、この技術が道に迷うと何が起こりますか?

今、同社がソフトウェアを販売しなかったと主張する地域であるバーレーンでどのようなサンプルを取得したかを理解しようとするのにかなりの努力が要ります。

カナダのトロント大学にある世界情勢のムンクスクールに籍を置く、学際的な研究室であるCitizen Labの研究者たちは、しばらくの間、バーレーンの状況を監視してきました。

我々が過去に見てきたものに基づくと、Stuxnetのように怒りによって作成されたほぼすべての悪意のあるコードは、公共の知識や公共財産となるように運命づけられていて、犯罪者や狂人、国家、ハッカー達による虐待をするために開かれています。

同じことが他国家のトロイの木馬のコードについて言え、3月にESETのマルウェア研究家であるRobert Lipovskyが記事にしたドイツのコードや、Alexis Dorais-Joncasが指摘した中国のコードの潜在性の記事にまとめられています。

そして、ソフトウェアが販売されている様々な地域における警察には、スパイが演じるのに使っているコンテキストについて何らかの完全な開示を行うために争っていないという微妙な差異があります。この話について言えば、様々な国で、盗聴の様々な形態に対して法律を持っています。それは、ここ米国も含んでおり、裁判所の命令(いわゆる"要求"は除く)が盗聴行為のために必要とされるように見えます。ここで、Gammaは、輸出規制に準拠していますと言っており、伝えられるところによると、彼らは合法的な地域でのみ販売しようとしているとのことです。

便利な携帯デバイスを持ってはいけないのでしょうか?彼らはまた、より伝統的なPC上で使用できるソフトウェアを販売していて、マルウェア対策ベンダーの正面玄関に主題をもたらします。

"良いマルウェア"についての議論の次のステップは、アンチマルウェア技術はそれに対処する必要があるかどうか(どのように対処するか)ということです。

私が言いたいのは、非常に多くの伝統的なマルウェアのように"働く"という事は、カメラやマイク、キー入力などをめちゃくちゃにいじるような嫌なことを行うよう設定している事を意味します。そして、ここでは障害です。最終的にそれは起こるべくして起こったことでしたが、今ではあなたのポケットの中で「起こっている」のです。

もちろん、その差は、お使いの携帯デバイスから得られた情報の流れが、伝えるべき情報の面で、予備の寝室にあるホームコンピュータでゲームをするよりも潜在的にはるかに脅威であるということです。結局のところ、あなたの携帯デバイスは、(ほぼ)常に接続され報告しているか、もしくは少なくとも報告のために保管しています。


■ FinFisherとFinSpyは、あなたとあなたの会社に何をもたらすのか?

答えは(それは多くの場合、新しいマルウェア開発の場合であるとして)、警戒心が増加します。

あなたはすべてのデバイス、デスクトップ、ノートパソコン、携帯電話で最新のウイルス対策を実行していることを確認してください。(ESETの製品は、このマルウェアをWin32/Belesak.Dのトロイの木馬として検出します。)

また、あなたの全ての従業員が、マルウェアの感染経路と保護戦略としてすべきこととしてはいけないことについて学習していることを確認してください。例えば、電子メール内のリンクをクリックすること(これは、してはいけないこと)や、不審な活動を報告すること(これは、すべきこと)です。

この記事のように、我々は、このソフトウェアがすぐに拡散されることに気づいていません。これは、ターゲットへの虚偽のリンクによって、インストールされている可能性が高いのです。

そして今、それは大規模な工業化された攻撃ではなく、むしろ限られており、ターゲットを絞った攻撃の一部であるように見えます。あなたの会社は中東でビジネスをやっている場合、明らかに、あなたはこのタイプの攻撃のための厳戒態勢をすでに準備しています。

私たちはFinFisherのようなスパイウェアによる感染のグローバルなモニタリングを継続し、脅威のレベルが上がった場合に対応を更新して提供します。


出典:blog.eset.com
  • このエントリーをはてなブックマークに追加

ページの先頭に戻る