「フィンフィッシャー」(FinFisher)を用いた新たな監視活動が活発化している。フィンフィッシャーは「フィンスパイ」（FinSpy）としても知られる悪名高いスパイウェアであり、世界中の政府関連機関に販売された。その亜種のうちの幾つかは、技術面の改善が見られると同時に、インターネットサービスプロバイダー(ISP)の関与を強く示唆するような、これまでにない感染経路を持っている。

フィンフィッシャーはスパイ活動に有益な幅広い機能を有している。例えば、Webカメラやマイクを通じたライブ監視、キーロギング、そしてファイルの抽出などができる。とはいえ、フィンフィッシャーが他の監視ツールと大きく異なるのは、利用のされ方が大きな議論を引き起こしている点である。警察のためのツールとして宣伝されたばかりか、独裁政権などにも使われていたという疑いがある。

これまでESETでは7カ国で最新のフィンフィッシャーの亜種を発見した。誰かを危険にさらすわけにはいかないため、国名の公表は控えることにする。

標的への感染

フィンフィッシャーは複数の感染メカニズムを持つことが知られている。例えば、スピアフィッシング、デバイスへの物理的アクセスに基づく手動インストール、ゼロデイのエクスプロイト、そして、いわゆる水飲み場型攻撃などがある。水飲み場型攻撃とは、特定の標的にこだわらず、Webサイトにウイルスを仕込んでおく攻撃で、例えばフィンフィッシャーの亜種を仕込んでおくこともできる。

この感染経路に新たなものが加わった。それは、中間者攻撃を利用して拡散させるものであり、とても煩わしい。そして、ここで言う中間者はおそらくISPレベルと考えられる。ESETのシステムが最新のフィンフィッシャーを検知した7カ国のうち、2カ国では、この感染経路が用いられていることをESETは確認した(残りの5カ国においては、従来の感染経路を用いた攻撃であった)。

ユーザー(監視対象となっている標的)が人気のある(正規)アプリをダウンロードしようとすると、彼らはフィンフィッシャーに感染したバージョンへとリダイレクトされてしまうのだ。

フィンフィッシャーを拡散するのに悪用されているアプリとしてESETが確認したものは、WhatsApp、Skype、Avast、WinRAR、VLC Playerなどであるが、どのアプリであっても同様に悪用可能であることには留意されたい。

その攻撃は、ユーザーが正当なWebサイトにおいて、影響を受けるアプリを検索するところから始まる。ユーザーがダウンロードリンクをクリックすると、彼らのブラウザーは改ざんされたリンクを受け取ることとなり、攻撃者のサーバー上にある、トロイの木馬が仕込まれたパッケージへとリダイレクトされてしまう。それをダウンロードし実行すると、正当なアプリケーションだけでなく、一緒に入っていたフィンフィッシャーをもインストールされてしまうのである。

図1: 最新のフィンフィッシャー亜種の感染メカニズム

このリダイレクトは正当なダウンロードリンクが不正なものへと置き換えられることで実現する。不正リンクはユーザーのブラウザーにHTTP 307 Temporary Redirectステータスのレスポンスコードを返すことにより、配信される。本来、このステータスコードは、要求されたコンテンツが別のURLに一時的に移動されたことを伝えるためのものである。このリダイレクトのプロセスは全てユーザーには見えないところで知らないうちに処理される。

図2: 最新のフィンフィッシャー亜種の感染メカニズムの詳細

フィンフィッシャー――マルウェア監視網から逃れるための工夫

フィンフィッシャーの最新版は技術的な改良においても注目すべき点がある。作者はいかにこのスパイウェアの存在に気付かれないようにするかということに注力している。例えば、カーネルモードのドライバーを含むコンポーネントの大半を保護すべく、カスタムコードの仮想化を実施している。また、コード全体にわたり、逆アセンブリ対策がなされている。サンドボックス対策、デバッグ対策、仮想化対策、そしてエミュレーション対策など、さまざまな対策がそのソフトウェアには施されている。これらは全て、そのスパイウェアの分析を複雑にしている。

最初の保護(逆アセンブリ対策)を突破すると、次にコードの仮想化が待っている。バーチャルマシン・ディスパッチャーは34個のハンドラーを持っており、そのスパイウェアは1つのインタプリターの中でほぼ全て実行される。すなわち、もう1つのレイヤーについて追加で分析が必要になる。

図1: 最新のフィンフィッシャー亜種の感染メカニズム

プライバシーを意識したユーザーに対する特別な対応

最近の攻撃を分析している際に、ESETは興味深いサンプルを発見した。フィンフィッシャーが「トゥリーマ」（Threema）という名前の実行ファイルを装っているのである。このファイルは、プライバシーを意識したユーザーを標的として利用された可能性がある。というのもトゥリーマは本来、エンド間で暗号化ができる安全性の高いインスタントメッセージ・アプリケーションであるからである。皮肉なことに、だまされて感染したファイルをダウンロード・実行してしまうと、プライバシーを求めているユーザーが監視されることになる。

暗号化ソフトウェアを求めるユーザーに着目すると、その対象となるのはもちろん、単にエンド間の通信だけではない。ESETの調査の中では、フィンフィッシャーに感染した「トゥルークリプト」（TrueCrypt）のインストールファイルも発見した。トゥルークリプトは以前とても人気のあったディスク暗号化ソフトである。

中間者攻撃の中間者とは誰か

標的コンピューターと正当なサーバーの経路上に存在していれば、中間者攻撃の「中間者」になることは、技術的には可能である。例えば、乗っ取られたWi-Fiのホットスポットなどが中間者になることも考えられる。しかし、ESETが最新のフィンフィッシャー亜種を検知した場所が地理的に分散していることを鑑みると、中間者攻撃はかなりネットワークの上位(内部)にて実施されている可能性が高い。すなわち、中間者はISPではないかと考えられる。

この仮定はさまざまな事実により裏付けられている。第一に、WikiLeaksにより公表された内部資料によると、フィンフィッシャーの作成元はISPネットワークへの展開用に「フィンフライISP」（FinFly ISP）というソリューションを提供していたことが挙げられる。このソリューションは、今回のような中間者攻撃を実行するのに必要な機能を持っているとのことである。第二に、(HTTP 307リダイレクトを利用した)感染技術は今回感染が確認された2カ国において全く同じ方法で実装されていたことが挙げられる。同一の組織やチームにより実装もしくは提供されたのでなければ、こういったことはほぼ生じないであろう。第三に、片方の国において感染した標的は全員同一のISPを利用していたことが挙げられる。最後に、その国において、ISPがインターネットコンテンツのフィルタリングに全く同一のリダイレクション方式とフォーマットを利用していることが挙げられる。

漏えいした文書にある、ISPレベルでの中間者攻撃技術の展開については、今のところ確認されていない。もし確認されれば、これらのフィンフィッシャーの攻撃は、方法と到達範囲の観点から、これまでに類を見ないほど高度かつステルス性の高い監視プロジェクトの代表格となるだろう。

感染や監視の確認

ESETの商品はこの脅威を全て「Win32/FinSpy.AA」および「Win32/FinSpy.AB」として検知することができる。ESETのユーザーはもちろん自動的に守られている。

感染の疑いを確認するための指標 (= 危殆化指標、IoC)