報告書の開示
グーグルはセキュリティ報告書の中で、2016年以降にアップル、アドビ、グーグル、マイクロソフト、モジラの製品に対して60件以上の情報開示があったことを明らかにしている。ゼロデイ攻撃業務用スパイウェア複数の商用スパイウェア・サービス・プロバイダーに関連。
スパイウェアベンダー
このセキュリティ・レポートは、政府がスパイウェアをデバイスにインストールするのを支援するスパイウェア・サービス・プロバイダーの業務を詳細に分析している。これらの商用スパイウェアベンダー彼らの製品やサービスは、合法的な監視、通常は法執行目的にのみ使用されると主張しているが、多くの調査で、政治的敵対者、ジャーナリスト、反体制派、人権擁護者に対して使用されていることが明らかになっている。
営利目的のスパイウェア・ベンダーは、デバイス、特にアンドロイドやiOSを搭載した携帯電話を完全にコントロールできるようにするエクスプロイトに数百万ドルを支払う用意があるが、これらの企業は個人顧客からも数百万ドルを得ている。スパイウェアそのものだけでなく、顧客は最初の配信メカニズムや必要なエクスプロイト・プログラム、コマンド&コントロール・インフラ、侵害されたデバイスから盗んだデータを照合するツールも手に入れる。
グーグルの脅威分析グループ(TAG)は現在、政府向けにエクスプロイトやマルウェアを開発・販売している約40の商用スパイウェアベンダーを追跡している。
グーグルは最新レポートの中で、Candiru、Cy4Gate、DSIRF、Intellexa、Negg、NSO Group、PARS Defence、QuaDream、RCS Lab、Variston、Wintego Systemsの11社を挙げている。
同社は、2016年以降に発見された独自のAndroid、Chrome、iOS/macOS、WhatsApp、Firefoxのゼロデイ脆弱性を60件以上としている。このリストには、スパイウェアベンダーが悪用することが確認されている既知の(NDAY)セキュリティ脆弱性は含まれていない。
2023年にTAGによって発見された25件の悪用された脆弱性のうち、20件はスパイウェアベンダーによって悪用されたものでした。さらに、2014年半ば以降にグーグル製品で悪用された72件のゼロデイ脆弱性のうち35件は、これらの企業によって悪用されたものでした。
セキュリティ・レポートでは、これらは発見された脆弱性のみであるとしている。まだ検出されていない脆弱性や、スパイウェアベンダーとの関連性が確認されていない脆弱性が残っているため、実際に悪用されている脆弱性の数はもっと多い可能性が高い。
財務的観点
スパイウェアベンダーは、デバイスの完全な制御を可能にするエクスプロイトに数百万ドルを支払うことを厭わない。また、配信メカニズム、脆弱性、コマンド・アンド・コントロール・インフラ、データを盗むためのツールなどを含むサービスを提供することで、個人顧客から高い収益を上げることができます。
レポートトラッカー
グーグルの脅威分析グループ(TAG)は、政府顧客向けにスパイツールを開発・販売しているベンダー約40社を追跡している。
グーグルはこの報告書で、Candiru、Cy4Gate、DSIRF、Intellexa、Negg、NSO Group、PARS Defence、QuaDream、RCS Lab、Variston、Wintego Systemsなど、複数のスパイウェアベンダーについて言及している。
脆弱性の帰属
2016年以降に発見されたユニークなゼロデイ脆弱性のうち、上記のベンダーに関連するものは60件以上確認されている。
2023年レビュー
2023年には、TAGが特定した25件のゼロデイ脆弱性のうち20件がスパイウェアベンダーによって悪用されていると考えられています。2014年半ば以降、グーグル製品を標的とした72件のゼロデイ脆弱性のうち、35件にこれらの企業が関与している。
典型例
例えば、アップルが2023年4月に急遽パッチをリリースしたiOSのゼロデイ脆弱性CVE-2023-28205とCVE-2023-28206、5月にパッチがリリースされたCVE-2023-32409は、スペインの企業Varistonによって悪用されている。Androidの脆弱性CVE-2023-33063の悪用も、現在、同じスパイウェアベンダーに関連している。
アップルは最近、2つのiOSの脆弱性(CVE-2023-42916とCVE-2023-42917)がトルコのPARS Defence社によって悪用されたと警告した。
Chromeの脆弱性CVE-2023-2033とCVE-2023-2136は4月にGoogleによって修正され、CVE-2023-3079は6月に解決されました。
CVE-2023-7024は、2023年に修正されたChromeの8番目のゼロデイ脆弱性であり、現在NSOグループに起因している。
グーグルは9月にCVE-2023-5217を修正した際、Chromeの脆弱性がスパイウェアベンダーによって悪用されたことを警告したが、その会社名は明らかにしていなかった。今回の報告では、スパイウェアベンダーはイスラエルに本拠を置くCandiru社であることが示唆されている。
Androidの脆弱性CVE-2023-4211、CVE-2023-33106、CVE-2023-33107は、イタリアのCy4Gate社の仕業とみられている。
セキュリティパッチ
グーグルとアップルは、ゼロデイ脆弱性にパッチを当てる際、その脆弱性が悪用されていることを速報で顧客に知らせるが、攻撃や攻撃者に関する情報は一切提供しない。グーグルの最新レポートでは、これらのゼロデイ脆弱性のいくつかが、初めて特定のスパイウェアベンダーに関連づけられた。
元記事はChief Security Officerによるもので、転載の際はhttps://www.cncso.com/jp/spyware-vendors-linked-to-zero-day-exploits.html。
