Microsoftとサイバーセキュリティ研究所のCitizen Labが、イスラエルを拠点とする「QuaDream」という企業が作成した商用スパイウェアの「Reign」(MicrosoftはKingsPawnと呼称)を発見しました。Reignは「ENDOFDAYS」と呼ばれるゼロクリックエクスプロイトを使用し、iCloudカレンダー経由でiPhoneをハッキングしていることが明らかになっています。

Sweet QuaDreams: A First Look at Spyware Vendor QuaDream’s Exploits, Victims, and Customers - The Citizen Lab

https://citizenlab.ca/2023/04/spyware-vendor-quadream-exploits-victims-customers/



DEV-0196: QuaDream’s “KingsPawn” malware used to target civil society in Europe, North America, the Middle East, and Southeast Asia - Microsoft Security Blog

https://www.microsoft.com/en-us/security/blog/2023/04/11/dev-0196-quadreams-kingspawn-malware-used-to-target-civil-society-in-europe-north-america-the-middle-east-and-southeast-asia/

Standing up for democratic values and protecting stability of cyberspace: Principles to limit the threats posed by cyber mercenaries - Microsoft On the Issues

https://blogs.microsoft.com/on-the-issues/2023/04/11/cyber-mercenaries-cybersecurity-tech-accord/

iPhones hacked via invisible calendar invites to drop QuaDream spyware

https://www.bleepingcomputer.com/news/security/iphones-hacked-via-invisible-calendar-invites-to-drop-quadream-spyware/

Experts warn of new spyware threat targeting journalists and political figures | Hacking | The Guardian

https://www.theguardian.com/technology/2023/apr/11/canadian-security-experts-warn-over-spyware-threat-to-rival-pegasus-citizen-lab

QuaDreamの商用スパイウェアである「Reign」は、2021年1月から2021年11月までの期間、iOS 1.4からiOS 14.4.2をインストールしたiPhoneに影響を与えるゼロデイ脆弱性の「ENDOFDAYS」を悪用して、「過去の日付が見えないiCloudカレンダーの招待状」を使用してiPhoneにハッキングを仕掛けるというものです。具体的には、スパイウェアのオペレーターがターゲットの端末にiCloudカレンダーの招待状を送信することで、端末をハッキングします。

ENDOFDAYSはQuaDreamが開発したゼロデイ脆弱性で、タイムスタンプがいじられたiCloudカレンダーの招待状をiOSデバイスで受信すると、通知やプロンプトなしで自動的にユーザーのカレンダーに予定が追加されるというものです。これにマルウェアを含めることで、被害者の操作なしでiPhoneをハッキングできてしまうというわけです。

Citizen Labの上級研究員であるビル・マークザック氏は、海外メディアのTechCrunchに対して「このiCloudカレンダー招待状は端末に通知を出さないため、被害者は自身が攻撃を受けていることを認識することができません」と語っています。



Citizen Labの分析により判明した「Reignの機能リスト」は以下の通り。

・通話音声の録音

・マイク音声の録音

・デバイスの前面あるいは背面のカメラで写真撮影

・iCloudキーチェーンからパスワード情報の窃取あるいは削除

・Anisetteフレームワークをハイジャックしてシステムコール(gettimeofday)をフックに任意の日付のiCloud時間ベースのワンタイムパスワードログインコードを生成。将来の日付で有効な2要素認証コードを生成するために使用され、iCloudから直接ユーザーのデータを永続的盗み出すことを容易にするために使用されたものと推測されます。

・SQLデータベースでクエリを実行

・ゼロクリックエクスプロイトにより残された可能性のある痕跡の削除

・デバイスの位置情報を追跡

・指定された特性に一致するファイルの検索を含む、さまざまなファイルシステム操作の実行

なお、Reignは端末から情報を盗み出したあとに自身のファイルデータを削除し、被害者のiPhone上からすべてのトラフィックを削除することで、あらゆる痕跡を消去するよう設計されているそうです。しかし、Reignを追跡することができる痕跡も残っており、これをCitizen Labの研究者は「Ectoplasm Factor」と呼んでいます。なお、マルウェアの痕跡の名前の由来はスタデューバレーのクエストで、詳細は「マルウェアを追跡するために伏せる」とのこと。

Citizen Labはブルガリア、チェコ、ハンガリー、ガーナ、イスラエル、メキシコ、ルーマニア、シンガポール、アラブ首長国連邦、ウズベキスタンなどを含む複数の国でQuaDreamのサーバーを発見したと報告しています。



Citizen Labの研究者は、「北米、中央アジア、東南アジア、ヨーロッパ、中東でQuaDreamのスパイウェアとエクスプロイトの被害を受けた少なくとも5人の被害者を特定することに成功しました」「被害者にはジャーナリストや野党関係者、非政府組織(NGO)の職員などが含まれます。現時点では被害者の名前を公表することはできません」と語っています。

Reignのようなスパイウェアはターゲットが何をしているのかを監視するために利用されるもので、国家から支援を受けている場合は開発費が数億円にものぼることがあるそうです。そのため、Citizen Labは「Reignのようなスパイウェアが大多数のiPhoneユーザーを標的としたサイバー攻撃を行うことは決してありません。我々は少数のこの種のスパイウェアの標的となるユーザーを保護するためにたゆまぬ努力を続けます」と語り、Reignのようなスパイウェアが一般市民に影響を及ぼす可能性が少ないとしています。

また、Citizen LabによるとQuaDreamは「InReach」と呼ばれるキプロスの拠点を置く企業を使用して商用スパイウェアを販売しているそうです。スパイウェア業界で働いたことがあるという匿名の人物は、「QuaDreamはイスラエスの規制当局を避けるためにInReachを使用している」とTechCrunchに語っています。



この他、情報筋は「QuaDreamのシステムは現在メキシコで最も重要なシステムです」と語り、QuaDreamのスパイウェアがメキシコの大統領により利用されており、名目上はメキシコシティの地方政府を「静かに保つため」に利用されていることも明かしました。

加えて、QuaDreamは「最近になってAndroid部門を閉鎖し、現在はiOSにのみ注力している」とTechCrunchは報じています。

QuaDreamは知名度の低いスパイウェア開発企業ですが、NSOグループが開発したスパイウェア「Pegasus」で利用されたゼロクリックエクスプロイトの「FORCEDENTRY」を利用していたとして、過去に名前が報じられたことがあります。

スパイウェア「Pegasus」と同様のiPhone向けゼロクリックエクスプロイトが別のイスラエル企業にも使われていた - GIGAZINE



なお、Citizeb Labsは「商用スパイウェアの制御不能な拡散が、政府による組織的な規制により首尾よく抑制されるまでは、スパイウェアの悪用事例が増加し続ける可能性があります」と述べ、政府による規制が入るまではまだまだ多くの商用スパイウェアが登場する可能性があると危惧しています。

Appleの広報担当者であるスコット・ラドクリフ氏はENDOFDAYSに対応したアップデートをリリースした2021年3月以降、「同ゼロデイ脆弱性が悪用された痕跡はない」と語っています。