何らアクションせずともシステム侵害や情報窃取が起こり得る――。ゼロクリック攻撃と呼ばれるサイバー攻撃では、メッセージアプリでのメッセージ受信だけで情報漏えいが生じたといった被害も報告されている。この記事では、ゼロクリック攻撃と呼ばれる手法について、どのような対応が求められるのかを解説する。
ゼロクリック攻撃とは
ゼロクリック攻撃とは、ユーザーが「一度もクリックせずとも」被害に遭遇する可能性がある攻撃手法のことだ。特定のリンクへのクリックや、ファイルの実行といったユーザーのアクションが発生せずとも攻撃が成立する。多くの場合、ユーザーの気づかぬ間に、情報を窃取するスパイウェアなどのマルウェアがインストールされ、被害に至る。
ゼロクリック攻撃の脅威が知れ渡るきっかけとなったのが、スパイウェア「Pegasus」を使ったゼロクリック攻撃だ。このPegasusは、2016年にイスラエルのテクノロジー企業によって開発されたが、「WhatsApp」などのメッセージアプリでメッセージを受信するだけでも感染するとされる。
Pegasusに感染してしまうと、テキストメッセージや通話の追跡にとどまらず、メッセージアプリやSNSアプリから情報を収集し、外部へ送出することが可能となる。さらに、Androidスマートフォン(以下、スマホ)よりもセキュリティ強度が高いとされるiPhoneさえも攻撃の餌食となってしまう。実際に、Pegasusは政治家やジャーナリストを標的にした情報漏えい事件を過去に引き起こしている。
ゼロクリック攻撃は、ユーザーのアクションが不要のため、怪しいサイトやファイルにアクセスしないことを徹底していても感染する恐れがある。こうしたスパイウェアを伴うことが多いゼロクリック攻撃は感染に気づきにくく、いつのまにか情報が窃取されているということもあり得る。ユーザーにとって、新たなサイバー攻撃の脅威が現実化しつつあると考えてよいだろう。
ゼロクリック攻撃の特徴
脅威が増しているゼロクリック攻撃だが、その攻撃方法が少しずつ明らかになってきている。主に、以下のような特徴が挙げられる。
1)スパイウェアの利用
ゼロクリック攻撃を成立させるには、ユーザーの端末にマルウェアを忍び込ませる必要がある。マルウェアの一種であるスパイウェアは、無害なアプリやソフトウェアに偽装してユーザーの端末に潜伏する。そのため、ユーザーがマルウェアと気づかず、情報を窃取されてしまうことになる。特に、JailBreak(脱獄)をしたような場合、堅牢性が売りのiPhoneでも情報を盗み出される恐れが高まる。
2)メッセージアプリの利用
スパイウェアを送り込む手段として、メッセージアプリが使われることが少なくない。メッセージアプリによっては、友だちとしてつながっていないユーザーに、「強制的」にメッセージを受信させることが可能なものもある。ゼロクリック攻撃では、ユーザーのアクションを必要とせず、メッセージの受信だけでスパイウェアの感染に至らせることが可能なため、メッセージアプリは攻撃者にとって好都合なツールとなっている。
3)ゼロデイ攻撃で脆弱性を狙う
もちろん、メッセージアプリ経由でマルウェアを送り込むだけでゼロクリック攻撃が成功するわけではない。攻撃者は、メッセージアプリに潜む未知の脆弱性を先回りして見つけ出し、その脆弱性を突くことでスパイウェアを送り込む。このような未知の脆弱性、あるいは修正パッチが提供される前の脆弱性を狙った攻撃はゼロデイ攻撃と呼ばれる。ゼロデイ攻撃を伴うゼロクリック攻撃という、ダブルの「ゼロ」が成立する攻撃にユーザーが抗うのは極めて難しい。
4)iPhoneも標的になる
先述のとおり、iPhoneはAndroid端末よりも堅牢性が高く、安全性が高いとされている。しかし、Pegasusは堅牢とされるiPhoneをも攻撃対象としていた。iPhoneが堅牢であるとされる理由は、サンドボックスと呼ばれる独立したメモリー空間を有することで、セキュリティリスクの軽減を図っているからだ。また、App Storeにおける厳格な審査を通過したアプリのみが流通しているため、原則としてマルウェアは審査で弾かれる。
しかし、Pegasusのように未知の脆弱性を悪用したゼロデイ攻撃を用いられると、サンドボックスは効力なくマルウェアの侵入を許してしまう可能性が高まる。ゼロデイ攻撃が用いられる以上、iPhoneだから安全、というセオリーは通用しないと考えるべきだろう。
ゼロクリック攻撃への対応方法
ゼロクリック攻撃は、ユーザーの操作に関係なく感染してしまう可能性があるため、十分に注意を払っていても攻撃を防ぐことが困難な可能性が極めて高い。もはや防ぎようがない、というのが実情かもしれない。しかし、未知の脆弱性を前提とするゼロデイ攻撃を伴うことから、脆弱性が発覚するまでの極めて短時間しか攻撃成功の猶予がない。このため、攻撃者は狙う相手を厳選して絞り込まざるを得ない。
攻撃対象について事前に入念な調査を行い、タイミングを見計らって攻撃を実行する。極めて綿密な計画性が要求されることから、自ずと高い費用対効果、あるいは目的達成が見込めるユーザーを攻撃者は狙うことになる。この点はスピアフィッシング(標的型攻撃)と同様だと言えるだろう。そうした背景もあり、ジャーナリストや政治家、活動団体関係者など、著名な者は狙われやすい。
しかし、すでに社会問題化しているフィッシング詐欺のように、一般のユーザーが標的にならないという確証はない。目覚ましい技術革新の狭間で、今後、攻撃者のコストや手間を抑えながら攻撃対象が拡大していく可能性もある。そのためにも、以下のような対策を講じておきたい。
OSやアプリを最新の状態に維持
ゼロクリック攻撃は、ゼロデイ攻撃を伴うことが多く、その場合は未知の脆弱性を悪用する。通常、見つかった脆弱性に対して、事業者は速やかに対処し、修正パッチを提供するが、ユーザー側がアップデートを怠ったことで脆弱性が放置されると、ゼロデイ攻撃のリスクを負い続けることになる。ゼロデイ攻撃はもちろんのこと、ゼロクリック攻撃を防ぐためにもアップデートは速やかに行う必要がある。
極力、端末に重要なデータを保管しない
ゼロクリック攻撃ではユーザーの気づかぬ間にデータが窃取されてしまう。しかし、そもそも端末にデータがなければ窃取されるデータも存在しないことになる。重要なデータは極力、一定の安全性が確保された環境で取り扱うことが望ましい。
端末をJailBreak(脱獄)しない
脱獄とは、OSなどのプログラムに手を加えることで、本来ではインストールできないアプリをインストールできるようにすることだ。審査が厳しいApp Store 対策として、iPhoneで脱獄する例が広く知られている。スマホ黎明期においては、脱獄することで自由にアプリをインストールできるなどのメリットがあったが、悪意のある不正なアプリをインストールしてしまうリスクも大きく、近年では脱獄するデメリットがメリットを上回る状態となっている。
脱獄しているスマホは、不正なアプリをインストールさせやすいため、特にゼロクリック攻撃の餌食となりやすい。その場合、未知の脆弱性すら不要であり、攻撃者にとって攻撃のハードルは大きく下がる。ユーザーにとっては、ゼロクリック攻撃のリスクを高めるだけの行為に過ぎないのだ。
セキュリティソフトのインストール
セキュリティソフトをインストールすることで、ゼロクリック攻撃に遭遇した場合、端末に潜むマルウェアの検出可能性が高まる。ほかにも、パスワードなどの重要情報の保護、怪しいサイトへのアクセス遮断など、端末のセキュリティ強度を統合的に高めてくれる。ゼロクリック攻撃を含めたさまざまな攻撃への耐性を高めるためにも、セキュリティソフトをインストールしておくべきだろう。
強固な認証を設定
仮にゼロクリック攻撃で狙われた場合、最後の砦となるのがアプリなどの認証だ。アカウント情報を強固な認証で保護することで安全性を確保できる。そのため、くれぐれも推測されやすいパスワードの利用や使い回しは避け、強固なパスワードを設定しておくべきだ。また、パスワードに加えて、顔や指紋といった生体認証を組み合わせる、二要素認証の導入も検討の余地があるだろう。
サイバー攻撃で用いられる攻撃技術は、今や数年前のものとは大きく異なっている。近年におけるサイバー攻撃の手法や事例などの情報を常にキャッチアップしつつ、適切な対処で被害を抑制するようにしたい。