オペレーション・トライアンギュレーション

オペレーション・トライアンギュレーションは、4つのゼロデイ脆弱性を連鎖的に利用して実行される、 iOSデバイスに対する標的型サイバー攻撃です。 2023年6月にカスペルスキーセキュリティアナリストサミットで初めて公開され、iOSを標的とした攻撃の中では前例のない技術的な複雑さで注目されています。被害者数は数千人と推定されています

攻撃の目的

攻撃の目的はスパイ活動であり、デバイスからメッセージとパスワードを抽出し、会話を録音し、位置情報を追跡することだった。攻撃者の高度なステルス性により、被害者の正確な数は不明である。一部の情報源によると、ロシアの商業機関、政府機関、外交機関、およびロシアの海外代表を含む数千人の被害者がいると推定されている。[ 1 ]

出来事のタイムライン

2023年6月1日:ロシアのサイバーセキュリティ企業カスペルスキーは、従業員のiOSデバイスで新しい種類のマルウェアの痕跡を発見したと発表しました。このマルウェアはスパイ活動を目的として設計されており、非常にステルス性が高く、感染したiPhoneとの異常なデータ交換によってのみ検出されます。捜査官は、2019年にまで遡る最初の感染の痕跡を発見しました。この攻撃は「オペレーション・トライアンギュレーション」と名付けられました。[ 2 ]

と呼ばれるツールがtriangle_checkリリースされ、ユーザーはiOSデバイスが侵害されているかどうかを確認し、攻撃の被害者になっているかどうかを判断できるようになりました。[ 3 ] [ 4 ] [ 5 ]

同日、ロシア連邦保安庁(FSB)は、Appleの携帯電話に感染したマルウェアの発見について声明を発表し、AppleがNSAと共謀していると非難した。声明によると、数千台の携帯電話が感染しており、その中にはNATO加盟国、旧ソ連圏、イスラエルシリア中国といったロシア国外の携帯電話も含まれていた。[ 6 ] [ 7 ]

2023年6月21日:カスペルスキー社が攻撃に使用されたTriangleDBインプラントに関する調査結果を発表。[ 8 ] [ 9 ]

同日、AppleはiOS 15.xおよび16.xのアップデートをリリースし、攻撃に使用された2つの脆弱性(iOSカーネルのCVE-2023-32434とWebKitブラウザエンジンのCVE-2023-32435)を修正しました。これらの脆弱性により、iOSのセキュリティシステムを回避し、iPhoneに密かに感染することが可能になります。[ 10 ]

2023年7月24日: AppleはiOS 15.xおよび16.xのアップデートをリリースし、iOSカーネルの脆弱性CVE-2023-38606とフォント処理メカニズムFontParserの脆弱性CVE-2023-41990を修正しました。これらの脆弱性は、Operation Triangulationの感染経路の一部でもありました。[ 11 ] [ 12 ]

2023年10月23日:カスペルスキーは、攻撃者による潜在的な被害者の多段階的な検証に関するデータを公開しました。このフィルタリングプロセスにより、攻撃者は意図した標的のみに感染させ、セキュリティ研究者の目を逃れることができます。[ 13 ]

2023年10月26日:カスペルスキーセキュリティアナリストサミットで、オペレーション・トライアンギュレーションの調査プロセスと感染チェーンのすべてのコンポーネントを特定するための取り組みに関する報告書が発表されました。[ 14 ] [ 15 ]

2023年12月27日:カオスコミュニケーション会議で、攻撃チェーン全体と、攻撃に使用された4つの脆弱性( Appleプロセッサの文書化されていない機能を含む)に関する報告書が発表されました。[ 16 ] [ 17 ] [ 18 ] [ 19 ] [ 20 ]

技術的な詳細

オペレーション・トライアンギュレーションは、iOS攻撃としては前例のないほど技術的な複雑さを誇ります。感染チェーンは14段階で構成され、4つのゼロデイ脆弱性とAppleプロセッサの未公開のハードウェア機能を利用しています。既知の攻撃はすべてiOSバージョン15.7.xまでを標的としていましたが、その手法はiOS 16.2まで有効です。[ 21 ]

特別に細工されたiMessageがiPhoneで受信されると、悪意のあるコードが起動します。このメッセージはユーザーには見えません。その後、Operation Triangulationのコマンドサーバーから追加のコンポーネントがダウンロードされ、デバイス上で昇格された権限が付与され、デバイスのコンテンツと機能への広範なアクセス権を持つスパイウェアが展開されます。

デバイス感染

最初の感染は目に見えないiMessageを介して行われます。.watchface(時計画面のデザイン、基本的にはPDFが埋め込まれたZIPファイル)としてパッケージ化された悪意のあるiMessage添付ファイルは、バックグラウンドでSafariを開くコードを実行し、その後、感染チェーンの次のコンポーネントをWebページから読み込みます

ウェブページには、感染したスマートフォンのパラメータを分析し、感染を継続するかどうかを決定する検証スクリプトが含まれています。ウェブページ上に三角形を描くキャンバスフィンガープリンティング技術は、被害者を一意に識別するために使用されています。この三角形が、このキャンペーン全体の名称の由来となっています。

この攻撃は、これらの段階で CVE-2023-41990、CVE-2023-32434、および CVE-2023-38606 のゼロデイ脆弱性を悪用します。

チェックを通過した後、ウェブページ上のスクリプトはCVE-2023-32435の脆弱性をさらに悪用し、デバイスのメモリにバイナリコードをロードします。これにより、ルート権限を取得し、攻撃者の目的に合わせてスマートフォンのより詳細なチェックを実行します。このバイナリバリデータは、受信したiMessageの痕跡を削除し、悪意のある埋め込み型プログラムであるTriangleDBをロードします。

このマルウェアはスマートフォンのメモリ内でのみ動作するため、再起動すると消去されます。その後、攻撃者はiMessageを再送信し、被害者に再感染させることができます。

文書化されていないAppleの機能

最近の世代のAppleプロセッサ(A12~A16)のメモリ保護を回避するために、CVE-2023-38606カーネル脆弱性のエクスプロイトは、プロセッサの文書化されていないハードウェア機能を使用します

このエクスプロイトはMMIOレジスタに書き込みますが、これはドキュメントにも記載されておらず、iOSアプリケーションやiOSオペレーティングシステム自体では使用されていません。その結果、エクスプロイトコードはiOSカーネルメモリのハードウェア保護領域を変更する可能性があります。カスペル​​スキーの研究者は、このメカニズムはプロセッサ自体のデバッグのために作成された可能性が高いと示唆しています。[ 19 ] [ 20 ]

一部の専門家は、この機能について知っている人は「AppleとARMホールディングスのようなチップサプライヤー以外ではほとんどいないだろう」と考えている。[ 22 ]

TriangleDBインプラントの機能

TriangleDB マルウェアはモジュール構造になっているため、サーバーから追加のモジュールをダウンロードすることで機能を拡張できます。

基本バージョンでは、デバイスから攻撃者のサーバーにファイルをアップロードしたり、キーチェーンからデータを抽出したり、被害者の位置情報を追跡したり、スマートフォン上のファイルやプロセスを変更したりすることができます。[ 9 ]

既知の追加モジュールは、長時間のマイク録音(機内モードを含む)、デバイスに保存されているデータベースへのクエリの実行、WhatsAppTelegramからのチャットの盗難をサポートしています。[ 22 ] [ 14 ]

検出および除去方法

アップデートのブロック

Operation Triangulationマルウェアによるスマートフォン感染の明らかな兆候は、iOSを新しいバージョンにアップデートできないことです。しかし、感染したデバイスの中には、正常にアップデートを継続しているものもあります。[ 23 ]

iTunesバックアップ分析

感染の痕跡はiPhoneのシステムファイルに見られます。これらのファイルはiOSデバイス本体からはアクセスできないため、iTunesを使ってコンピュータ上のiPhoneのバックアップを作成し、解析します。解析にはtriangle_checkユーティリティを使用します。[ 3 ] [ 4 ] [ 24 ]

ネットワーク接続分析

Operation Triangulationの悪意のあるコードは攻撃者のサーバーとの接続を確立し、そのリストが公開されています。[ 2 ]

感染の除去

完全に侵害されたデバイスの場合、研究者は再感染を防ぐために、以下の一連のアクションを推奨しています。工場出荷時設定へのリセット、iMessageの無効化、iOSの新しいバージョンへのアップデートです。[ 2 ]

帰属

カスペルスキー社は、攻撃の起源について公式声明を出しておらず、また、特定のハッカーグループや国によるものとも発表していません

しかし、2023年6月1日、ロシア連邦保安庁(FSB)は、Appleの携帯電話に感染したマルウェアが発見されたことに関する声明を発表しました。このマルウェアは「メーカーが提供したソフトウェアの脆弱性」を悪用していました。FSBはまた、AppleがNSAと協力したと直接非難しました。声明によると、数千台の携帯電話が感染しており、その中にはNATO諸国、旧ソ連圏、イスラエルシリア中国といったロシア国外の携帯電話も含まれていました。[ 6 ] [ 7 ]

アップルは同日声明を発表し、これらの疑惑を否定した。[ 25 ]

FSBとカスペルスキーはそれぞれ独立した声明を発表しました。しかし、一部の専門家は、どちらも「トライアンギュレーション作戦」に言及していると考えています。[ 26 ] [ 27 ] [ 28 ]

結果

Appleは、バックドアを埋め込むために諜報機関と協力したという非難を公に否定した。[ 25 ]

同社は、オペレーション・トライアンギュレーションの標的となったiOSの脆弱性を修正するためのアップデートパッケージをいくつかリリースした。[ 29 ]

2023年7月から8月にかけて、ロシアのデジタル発展省、産業貿易省、運輸省、連邦税務局、ロシア鉄道など、複数の政府機関および民間機関において、Appleのスマートフォンおよびタブレットの公務での使用が禁止されたことが明らかになりました。2023年後半には、中央銀行と非常事態省も同様の決定を下しました。[ 30 ]

2023年9月、中国政府がiPhoneの使用禁止を公務員だけでなく国営企業にも拡大することを決定したことが明らかになった。[ 31 ]

2024年、韓国国防省は安全上の理由からiPhoneの使用禁止を発表したが、Androidスマートフォンは禁止されなかった。[ 32 ]

評価と世間の反応

オペレーション・トライアンギュレーションのエクスプロイトコードは史上最も複雑なものと言われている。[ 22 ]

この攻撃の最も注目すべき特徴は、攻撃者が文書化されていないAppleチップの機能を知っていたことと、1回の攻撃で4つのゼロデイ脆弱性を利用したことである。[ 33 ]

暗号学者ブルース・シュナイアーは、この攻撃を「極めて高度で狂気じみている」かつ「国家レベルのもの」と評した。[ 34 ]

参考文献

  1. ^ Menn, Joseph (2023-06-21). 「Apple、ロシア人への広範囲にわたるハッキングに使用されたiPhoneソフトウェアの欠陥を修正」ワシントン・ポスト. ISSN  0190-8286 . 2025-05-18閲覧
  2. ^ a b c「オペレーション・トライアンギュレーション:iOSデバイスが未知のマルウェアの標的に」 securelist.com . 2023年6月1日。
  3. ^ a b 「iPhoneをスキャンして「三角測量」マルウェア感染を検出する新ツール」BleepingComputer
  4. ^ a b「三角測量作戦の痕跡を見つけるツール」 securelist.com 2023年6月2日。
  5. ^ 「KasperskyLab/triangle_check」 2024年9月29日 – GitHub経由。
  6. ^ a b "Подробная информация :: Федеральная Служба Безопасности" . www.fsb.ru
  7. ^ a b「ロシアのFSB、米NSAがスパイ計画で数千台のApple製携帯電話に侵入したと主張|ロイター」 2023年6月1日時点のオリジナルよりアーカイブ。 2025年5月16日閲覧
  8. ^ Lakshmanan, Ravie (2023年6月21日). 「新報告書、オペレーション・トライアンギュレーションによるiOSデバイスを狙ったスパイウェアの埋め込みを暴露」 The Hacker News .
  9. ^ a b「三角測量スパイウェアインプラントTriangleDBの分析」 securelist.com 2023年6月21日。
  10. ^ 「iOS 16.5.1およびiPadOS 16.5.1のセキュリティコンテンツについて」。Appleサポート
  11. ^ 「iOS 15.7.8およびiPadOS 15.7.8のセキュリティコンテンツについて」。Appleサポート
  12. ^ 「iOS 16.6およびiPadOS 16.6のセキュリティコンテンツについて」。Appleサポート
  13. ^ 「三角測量:バリデータ、侵害後の活動、モジュール」 securelist.com 2023年10月23日。
  14. ^ a b「Operation Triangulation: Сonnecting the Dots | Igor Kuznetsov」 2024年1月25日 – YouTube経由。
  15. ^ 「カスペルスキーがオペレーション・トライアンギュレーションの全段階をどのように入手したか」 securelist.com 2023年10月26日
  16. ^ 「講義:三角測量作戦:研究者のiPhone攻撃すると何が起こるか | 水曜日 | 第37回カオスコミュニケーション会議のスケジュール」。fahrplan.events.ccc.de
  17. ^ 「Operation Triangulation」 2023年12月27日 – media.ccc.de経由。
  18. ^ 「iOSセキュリティレポート、これまでで最も高度なiPhone攻撃の詳細を説明」Macworld
  19. ^ a b「iPhoneの三角測量攻撃は文書化されていないハードウェア機能を悪用したBleepingComputer
  20. ^ a b「オペレーション・トライアンギュレーション:最後の(ハードウェア)ミステリー」securelist.com . 2023年12月27日。
  21. ^ Mascellino, Alessandro (2023年10月26日). 「Operation Triangulation iOS攻撃の詳細が明らかに」 Infosecurity Magazine .
  22. ^ a b c Goodin, Dan (2023年12月27日). 「4年間にわたるキャンペーンで、おそらく史上最も高度なエクスプロイトを使ってiPhoneにバックドアが仕掛けられた」 Ars Technica .
  23. ^ 「Triangulation: iOSを狙うトロイの木馬」 www.kaspersky.com 2023年6月1日。
  24. ^ 「リリース · KasperskyLab/triangle_check」 . GitHub .
  25. ^ a b「Apple、ロシアのFSBによる監視主張を否定|ロイター」 2023年6月1日時点のオリジナルよりアーカイブ。 2025年5月16日閲覧
  26. ^ダン、グッディン (2023 年 6 月 1 日)。「クリックレス」iOS エクスプロイトにより、Kaspersky の iPhone がこれまでに見たことのないマルウェアに感染」。Ars Technica
  27. ^ Menn, Joseph (2023年6月1日). 「ロシア、数千台のiPhoneがハッキングされたと主張、米国とAppleを非難」ワシントン・ポスト. ISSN 0190-8286 . 2025年5月18日閲覧 
  28. ^ “Разведывательная акция американских спецслужб с использованием мобильных устройств фирмы” [米国諜報機関、企業の携帯端末を使用して諜報活動を実施] (PDF)(ロシア語で)。 2023 年 6 月 1 日のオリジナル(PDF)からアーカイブされました
  29. ^ 「iOS 16.4およびiPadOS 16.4のセキュリティコンテンツについて」。Appleサポート
  30. ^ "Apple запретили использовать в служебных целях. Какая мобильная экосистема может прийти им на смену?"Российская газета。 2023 年 8 月 13 日。
  31. ^ 「Apple、中国でiPhoneの部分的販売禁止に直面」ユーロニュース。2023年9月7日。
  32. ^ Joo-young, Hwang (2024年4月23日). 「[独占] 韓国軍、「安全」上の懸念からiPhoneの使用禁止へ」 . The Korea Herald .
  33. ^ 「三角測量」iPhoneスパイウェアは、ほとんど知られていないAppleハードウェアの脆弱性を利用していた」TechSpot . 2023年12月30日
  34. ^ 「新たなiPhoneエクスプロイトは4つのゼロデイ脆弱性を利用 - Schneier on Security」 www.schneier.com 2024年1月4日。
「 https://en.wikipedia.org/w/index.php?title=Operation_Triangulation&oldid=1334567368」より取得