Kaspersky、iOSとAndroidを標的とする監視ツール「FinSpy」の新バージョンを発見

[本リリースは、2019年7月10日にKasperskyが発表したプレスリリースに基づき作成したものです]

Kaspersky のリサーチチームは、悪意のある高度な監視ツールとして知られる「FinSpy」の新バージョンを発見しました。iOS と Android の両デバイスで作動し、一般的に普及しているメッセージングサービスのほとんどすべての活動（暗号化されたものも含む）を監視し、これまで以上に高度にその痕跡を隠すことができます。攻撃者はFinSpyを使用して、デバイスのあらゆる活動を偵察し、位置情報、メッセージ、写真、通話などの機密データを窃取することができます。

FinSpyは、極めて効果的な監視用のソフトウェアツールとして知られ、世界中の国際NGOや政府機関、法執行機関から情報を窃取していることが確認されています。攻撃者は、標的に合わせてFinSpyの振る舞いをカスタマイズできます。

FinSpyは、位置情報、送受信した全メッセージ、連絡先、デバイスに保存されている写真やファイルなどのメディア、SkypeやFacebook Messengerなどの有名なメッセージングサービスのデータなど、デバイスの活動をほとんど無制限に監視できます。窃取されたデータはすべて、SMSメッセージ、またはHTTPプロトコル経由で攻撃者に転送されます。

現在判明しているFinSpyの最新バージョンでは、監視機能が拡充され、Telegram、Signal、Threemaなど「セキュア」とみなされているメッセージングサービスも攻撃対象に追加されています。また、痕跡の隠蔽もさらに巧妙になっており、例えば、iOS 11以前のバージョンを標的にしているiOS版FinSpyは、脱獄（ジェイルブレイク）の形跡を隠せるようになっています。一方、最新のAndroid版FinSpyでは、root権限を取得できるエクスプロイトが含まれているため、root化されていないデバイスであっても、ほぼ制限なしにあらゆるファイルやコマンドへアクセスできます。

なお、攻撃者がAndroidデバイスとiOSデバイスの両方への感染を成功させるには、デバイスへの物理的アクセス、またはあらかじめデバイスを脱獄もしくはroot化しておくことが必要です。スマートフォンを脱獄またはroot化するための感染経路には、SMSメッセージ、メール、プッシュ通知の少なくとも3種類があります。

当社のテレメトリーデータによると、過去1年に数十台のモバイルデバイスがこの高度な監視ツールに感染したことが判明しています。

Kaspersky Labのセキュリティリサーチャー、アレクセイ・フィルシュ（Alexey Firsh）は次のように述べています。「FinSpyの開発者は、モバイルプラットフォームのセキュリティ更新を常に監視し、その更新にあわせて悪意あるプログラムをすばやく変更して、自分たちの作戦が妨げられないようにする傾向が見られます。さらに、彼らは流行にも敏感で、その時々で最も人気のあるアプリからデータを抜き取る機能を実装します。FinSpyの攻撃は毎日のように検知しており、対策として、プラットフォームの更新には常に注意を払い、最新版がリリースされたら速やかにインストールすることをお勧めします。というのも、使用しているアプリのセキュリティがどれほどしっかりしていても、またデータを保護していたとしても、スマートフォンがroot化または脱獄された場合は、攻撃者からの偵察行為に対して無防備になってしまうからです」

■ FinSpyの回避策として、次のことを推奨しています。

• スマートフォンやタブレットのロックを解除したまま放置しない。また、PINコードを入力するときには他人が見ていないことを必ず確認する。
• デバイスを脱獄またはroot化しない。
• モバイルアプリケーションをインストールするときには、必ず、Google Playなどの公式のアプリストアを使用する。
• 知らない人から送られてきた不審なリンクはクリックしない。
• 未知の配信元からのソフトウェアがインストールされないように、デバイスの設定でブロックしておく。
• モバイルデバイスのパスワードやパスコードは、たとえ信頼できる相手であっても教えない。
• 個人データに損害が及ぶ可能性があるため、見慣れないファイルやアプリケーションをデバイスに保存しない。
• モバイルデバイス用の実績あるセキュリティソリューションをインストールする。

詳しくは、Securelistブログ「New FinSpy iOS and Android implants revealed ITW」（英語）をご覧ください。