2021年の夏に、イスラエルの監視ソフトウェアの「ペガサス」が話題になった。このソフトウェアは、イスラエルのテクノロジー企業NSOグループが開発したものだ。このソフトウェアがすごいのは、何一つクリックをせずに、スマートフォンに仕込むことができることだ。これにより、対象者の個人情報、行動履歴、位置情報などを全て把握することができる。重要な情報なども、よく暗号化されて送られるが。しかし最終的にはスマートフォンなどでそれを解凍して読むために、この段階で情報を盗み取ることができる。
iOSの脆弱性
NSOグループは、サウジアラビアア、ラブ首長国連邦など50カ国近くの政府機関、情報機関を顧客としていたと言う。対象者にフランスのマクロン大統領やAmazonのジェフ・ベゾス氏などが含まれていたと報道された。
この時点ではNSOグループは、iOSの脆弱性を把握しており、ペガサスに感染しているスマートフォンはアンドロイドよりもiPhoneの方が多かったらしい。
その後、Appleは対応するiOSのアップデートを行い、ユーザには必ず最新版にアップデートすることを勧めている。
その後AppleはNSOグループをAppleの端末やソフトウェアを使用することを禁止する差し止め命令や賠償金の支払いを求めて提訴している。またアメリカ政府もNSOグループ米製品輸出禁止対象企業一覧に追加してアメリカ企業から部品などを輸入できなくする対策をとった。
しかし、NSOグループのような監視ソフトウエアを開発する企業は数多く、監視ソフトウエアーの問題は続いている。
監視ソフトウェア対策
1月に入って、アメリカの国立防諜、及びセキュリティーセンターは国民に対してスマートフォンやコンピューターなどを監視ソフトウェアから守るために注意文を発表した。
内容としては大体下記のようなことだ。
– 端末のOSやモバイルアプリケーションを定期的にアップデートする。
– 見慣れない送信者からのコンテンツ、特にリンクを含むコンテンツや添付ファイルは疑ってかかる。
– 不審なリンク、不審なメールや添付ファイルはクリックしない。
– リンクをクリックする前にURLを確認する、または直接Webサイトにアクセスする。
– 定期的にモバイル端末を再起動することで、マルウェアの侵入を防いだり、削除したりすることができる場合がある。
– 端末を暗号化し、パスワードで保護する。
– 可能な限り、デバイスを物理的に管理する。
– 信頼できるVPN(仮想プライベートネットワーク)を利用する。
– デバイスの位置情報とカメラを無効にする。
– これらの対策は、リスクを軽減するが、リスクを排除しない。常に安全であるためには機密性の高いコンテンツに注意する。
National Counterintelligence and Security Center
ペガサスもそうだったが、何もクリックせずにこのような監視ソフトウェアに感染してしまうために、かなりの注意が必要だ。この中で、知らなかったのは、端末を再起動することが有効だと言うことだ。OSを常に最新にアップデートしておく事は知っていたが、これは知らなかった。これが意味している事は、端末に保存されていなくても、メモリーの中に入っている監視ソフトウェアを削除したりすることができると言う事のようだ。
AppleにしてもGoogleにしても、そのOSを常に脆弱性をゼロにすべく対策をとっているのだろうが、この対策はいたちごっこであり常に脆弱性の穴を見つける会社が出てくるものなのだろう。
個人的には、政治家でもスパイでもないので、国家機密保持を扱っていないが、自分の財政に関わる情報については守りたいと思っている。だから、基本的には、どのフリーWi-Fiを使わないようにしている。先の位置情報をオフにしたり、カメラを無効にする事は不便なので、できる範囲内で身を守りたいものだ。
