WhatsAppは、同社メッセージアプリの深刻な脆弱性を公表した。標的に電話をかけるだけで、「iPhone」および「Android」端末にイスラエルのスパイウェアを遠隔からひそかにインストールできるという。
これはWhatsAppのVOIP機能に存在するバッファオーバーフローの脆弱性だ。Facebookは、米国時間5月13日に公開した「CVE-2019-3568」に対するアドバイザリで、これについて説明している。
攻撃者は標的に電話をかけて、不正なSRTCPパケットを端末に送信するだけで、WhatsAppのVOIP機能におけるこのメモリー脆弱性を利用して、スパイウェアをインストールし、端末を制御することができる。
標的が電話に出なくてもスパイウェアはインストールされ、着信記録は多くの場合、通話履歴から消去されるという。
WhatsAppは確かにエンドツーエンドの暗号化に対応していて、ユーザー間の通信内容を保護するはずだが、デバイスがマルウェアに侵害されると、このセキュリティ手段が損なわれるおそれがある。
この件を最初に報じたFinancial Timesによると、スパイウェアの開発元はイスラエル企業NSO Groupで、同社はこれまでも、人権の扱いが疑わしい複数の政府にスパイウェアを販売したとして非難されてきた。
NSO Groupのフラグシップ製品である「Pegasus」は、いわゆる「合法盗聴」ツールだ。トロント大学のCitizen Labの研究者らは最近、このツールが45カ国に導入されていることを明らかにした。
このように広く導入されていることから推測されるのは、国内の犯罪やテロの対策だけでなく、たとえば他国に住む反体制派の情報を求める政府などによる、国境を越えた監視にも使われている可能性だ。
Pegasusは、会話の記録、プライベートメッセージの傍受、写真の抜き出し、携帯電話のマイクおよびカメラの作動、位置情報の収集などができる。
WhatsAppは米国時間5月10日、サーバー側の修正を実施し、13日には、Facebookのアドバイザリーにあわせてエンドユーザー向けのパッチをリリースした。
Financial Timesによると、Pegasusで狙われた英国の弁護士(名前は特定されていない)が、メキシコのジャーナリストおよび政府批判者のグループと、カナダに住むサウジアラビア反体制派の代理として、イスラエルでNSO Groupを訴えている。この訴訟は、NSO Group製品の顧客による悪用の責任が同社にもあると主張している。
NSO Groupは、同スパイウェアを英国の弁護士の携帯電話にインストールしようとした実際の行為について、自社の関与を否定した。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス