piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

Amazon CEOのiPhoneハッキング疑惑についてまとめてみた

2020年1月22日、国連人権理事会より任命された特別報告人2名からの声明より、米アマゾンCEOベゾス氏がスパイウェアによる脅威に晒されていた深刻な懸念があることが明らかにされました。ここでは今回の声明で関与を示唆する情報として取り上げられた、ベゾス氏のiPhoneのフォレンジック分析に関連する情報をまとめます。

事の発端はベゾス氏のプライベートリーク

  • 発端は2019年1月にベゾス氏の女性問題を報じたNational enquirerの記事。記事中にベゾス氏の個人的なテキストメッセージの内容が含まれており、原因を調査していた。*1
  • その後National enquirerを傘下に持つAMIの代理人よりさらなる情報公開を示唆する脅迫メールが届いており、ベゾス氏は自身のブログで非難する反応をしていた。medium.com
  • ベゾス氏から調査依頼を受けたギャビン・デベッカー氏(氏の特別顧問)はこの問題にサウジアラビア政府が関与していると2019年4月に告発していた。*2
  • 一連の出来事と今回出された国連特別報告人の声明へのつながりについては登場人物が複数いるため関係図を整理すると次の通り。調査結果をカショギ氏殺害で報告を行った国連特別報告人の専門家に渡していた。*3

f:id:piyokango:20200124045740p:plain
登場人物の関連図

CEOのiPhoneは本当にハッキングされたのか

  • ベゾス氏が被害を受けたとされる個人端末はiPhone X A1901。
  • ギャビン・デベッカー氏から調査を請け負ったのはFTIコンサルティング。2019年5月18日にベゾス氏のiPhone Xを受け取り、22日に調査を終え返却している。
  • FTIコンサルティングの調査レポートはMotherboardが入手し、同サイト上で公開している。またこのレポートを受け同社が取材した記事も公開されている。*4

f:id:piyokango:20200124053048p:plain
Motherboardが公開したFTIコンサルティングの調査資料

  • FTIコンサルティングのフォレンジックではバックアップデータ暗号化への対応を行った記述*5が存在し、MotherboardはiTunesバックアップとその関連データの抽出を中心に解析が行われた可能性を指摘している。
  • FTIコンサルティングはベゾス氏のiPhoneが皇太子のビデオファイルを通じた侵害を「中~高程度の信頼度」と評価し国連もこれを引用していた。しかし、Motherboardの取材を受けた専門家は調査は完全なファイルシステムの取得を元にした調査でなければ今回のケースでは不十分だとコメントしている。
  • FTIコンサルティングのレポートの結論でも「NSO Groupのツールが使用された」とする断定的な表現は行われていない。スパイウェアや直接関連する証跡は示されておらず、送信データ急増と不可解な2通のメッセージを含む状況証拠より、専門家が可能性を指摘するにとどまっている。またPegasusは国家が使用するスパイウェアとして出した一例であり、Hacking TeamのGalileoの言及もある。
  • レポート結論部では、調査継続に関する記述もあるが、国連人権理事会特別報告人の声明が出されるにあたりここで言及された調査が行われたのか、その結果を踏まえているのかは明らかになっていない。
    • ペンディング調査タスク① ベゾス氏のiPhone Xのライブフォレンジック(初期調査は疑似インターネット環境下で行われたため)
    • ペンディング調査タスク② ベゾス氏のiPhone Xの脱獄、およびルートファイルシステムの解析(懸念のあるマルウェアはルートファイルシステムに格納されているため)
不可解な事象① 皇太子から届いた2通のメッセージ
  • 2018年4月4日、皇太子とベゾス氏はLAで小規模な夕食会を開いており、ここが接点だったとされる。
  • 食事会で話し合われた内容は不明だが、電話番号を交換するほどの友好的なものだった。

f:id:piyokango:20200124040812p:plain
ベゾス氏と皇太子の初のやり取り。FTIコンサルティングのレポートより。

  • 18年11月、皇太子から届いたメッセージに不倫関係にあった女性に似た写真が含まれていた。当時ベゾス氏は離婚協議中だったとされる。
  • 写真はあくまでも似ている女性で本人ではない。Google 画像検索によればロシアの女性モデルの写真とみられる。

f:id:piyokango:20200124041321p:plain
左が似ている女性の写真。右がサンチェス氏。FTIコンサルティングのレポートより。

  • 2019年2月にはベゾス氏がオンラインで行われているキャンペーンについて電話で説明を受けた後に皇太子より届いたメッセージで、(報告を受けた内容を)鵜呑みにするなという内容だった。

f:id:piyokango:20200124054005p:plain
皇太子より届いたメッセージ。FTIコンサルティングのレポートより。

不可解な事象② 皇太子から届いたビデオファイル
  • 2018年5月1日、WhatsAppを通じてベゾス氏宛に皇太子から届いたビデオファイルが発端と指摘されている。
  • ビデオファイルはMP4ファイルで4.22MBだった。このファイル自体から悪性の痕跡となるデータは確認されていない。
  • 実際に届いた動画の中身は不明だが、サウジアラビアとスウェーデンの国旗が画像として示されている。
  • ファイルは暗号化されたダウンローダーより届いたもので、WhatsAppの仕様もあって取得されたコンテンツを解読し、ビデオのほかに悪性コード等が存在するかは確認できなかった。

f:id:piyokango:20200124042828p:plain
皇太子から届いたビデオファイル。FTIコンサルティングレポートより。

  • ダウンローダーをホストしていたWhatsAppのメディアサーバーのURLは一部伏せられており、https://mmg-fna.whatsapp.net/d/f/*******.enc
  • 参考情報としてWhatsAppは2019年5月13日に深刻な脆弱性(CVE-2019-3568)が存在するとして、修正対応を行っていた。この際、脆弱性悪用の関与が報じられていたのがNSO Groupだった。ただし、この時は発端となったのはURL付きのSMSで、今回の動画ファイルを参照させるというものではなかった。piyolog.hatenadiary.jp
  • ベゾス氏がビデオファイルを受け取った後、データ送信量(端末からの出力)が唐突に増えるタイミングが1年以上にわたり生じている。以下はビデオ受信前の(日平均430KB)の送出量と比較し突出して増えていた日付。
発生日 データ出力量 ビデオ受信前との対比率
2018年5月2日 126MB 29,156%
2018年8月14日 221MB 51,261%
2018年9月27日 511MB 11,857,663%
2019年2月18日 807MB 18,752,416%
2019年4月24日 2GB 45,956,055%
2019年5月1日 4.6GB 106.032.045%
2019年5月5日 2.4GB 56,800,650%

国連特別報告人2名の声明

この件に関する記事の多く*6はこの声明の引用が中心。*7

この声明の主旨をまとめると以下の通り。

  • Amazon CEO ベゾス氏の監視を可能とするスパイウェアがサウジアラビア皇太子のWhatsAppアカウントより展開されたことを示唆する情報を確認。
  • フォレンジック結果からベゾス氏のiPhoneへ送付されたMP4ファイルを通じスパイウェア「Pegasus」に感染した可能性が判明。
  • この行為の目的をワシントンポストによるサウジアラビアへの報道の沈黙まではいかずとも影響は与えられると指摘。
  • 米当局、関連機関へこの事案に対する即時の捜査を要求。*8

声明を出した国連人権理事会より任命された特別報告人は次の二人。特別報告人は国連とは独立した立場で調査を行い、国連へ報告を行う。

特別調査人 担当する専門分野
Agnes Callamard氏 超法規的な殺人事案の担当。2019年にサウジアラビア関与を指摘。
David Kaye氏 表現の自由の担当。ジャーナリストや人権擁護者、市民社会に対する監視、脅迫目的のスパイウェア利用の増加を報告。
名指しされたサウジとNSOは関与否定
  • サウジアラビアは1月22日にダボス会議に出席中のファイサル外相が国連の声明に対し立証する証拠もないとして反発。サウジアラビア政府もTwitterでこの声明をばかげているとコメントしている。
  • NSO Groupはこの事例において同社のサービスが使用されていないとして関与を否定するコメントを掲載

ベゾス氏のiPhoneで行われたデジタルフォレンジック

以下は声明に添付されていたフォレンジック結果の意訳。

調査項目 使用されたツール、手段 調査結果
論理的端末データ取得 Cellebrite UFED 4PC 取得成功
デバイスロック時、ロック解除時、アイドル時、及び動作シミュレート中のネットワークパッケージの収集 Wireshark、Fiddler ネットワークトラフィックの収集成功
マルウェアの確認 Cellebrite Physical Analyser 既知のマルウェア検出無し
従来型、典型的悪意のあるソフトウェアの確認 Cellebrite Physical Analyser、疑似インターネット環境でのサンドボックスネットワークの利用 350,579個のユニークなハッシュを検出。既知の悪意あるソフトウェアは検出無し
ネットワークキャプチャログからの侵害疑念のあるインディケータの確認 Cellebrite レポート機能、ネットワークキャプチャログ 1,290個のURL、378個のドメインを検出。192個の疑わしいIOCを検出。
192個の疑わしいIOCの詳細調査 専門家による手動レビュー 特定ドメイン、URLのいずれかが悪性のトラフィックとの関連をしているという証拠は確認されず
脱獄ツール、iOS Exploitの確認 論理ファイルシステムの詳細調査(274,515個のディレクトリ、サブディレクトリ、ファイル名) 脱獄ツール、iOS Exploitの存在する証拠は確認できず
疑わしいビデオファイルの分析(WhatsAppを介して皇太子アカウントからベゾス氏宛に送信) Cellebrite報告書よりWhatsAppアーティファクトの分析 最初の調査で悪意あるコードの埋め込みは確認されず。但し詳細調査により、疑わしいビデオファイルはWhatsAppのメディアサーバー上の暗号化されたダウンローダー経由で配信されたことが判明。
ダウンローダーの内容分析 復号の試行 WhatsAppはEnd-to-Endで暗号化されており、ダウンローダーの内容は判別できず
送信データのベゾス氏の過去の使用量との比較分析 Cellebrite報告書よりフォレンジックアーティファクトの分析 皇太子のWhatsAppアカウントからのビデオ受信から数時間以内に極端な変化が発生していることを確認。データ送信が29.156%増加。この状況はビデオ受信前と比較して106,031,045%高い比率で数か月継続した。
ベゾス氏のiPhoneと類似デバイスを使用した送信データの比較分析 5つの他の類似端末を用いた専門家による分析 疑わしい動画の受信までは5つの類似端末*9、ベゾス氏の端末いずれもデータ送信パターンの類似性を確認。動画ファイル受信後はベゾス氏の送信量の大きさが他5台の端末と比べ際立っていたことが判明。
モバイル用スパイウェア(サイバー兵器)使用可能性の検証 送信データにおける異常な作用、キャプチャとして、サイバー兵器の可能性に関連する専門家による分析 異常な送信量の発生として最も可能性の高い説明は、NGO GroupのPegasusやHacking TeamのGalileo等のモバイルスパイウェアを使用であり、正規のアプリケーションを介して検出を回避し、活動を隠蔽化することが可能。例として、疑わしいビデオファイルの受信後最初の急増に続き、6GB超の送信データが観測された。

更新履歴

  • 2020年1月24日 AM 新規作成
  • 2020年1月24日 AM ビデオファイルが届いた年が誤っていたため修正(2019年⇒2018年)

*1:ベゾス氏「タブロイド紙の脅迫メール」公開 女性問題で,日本経済新聞,2019年2月8日

*2:サウジ、アマゾンのベゾス氏電話データにアクセスと調査員が告発-不倫暴露前に,Bloomberg,2019年4月2日

*3:ベゾス氏の携帯ハッキング、訪米中のサウジ皇太子との夕食が起点,Bloomberg,2020年1月23日

*4:Here Is the Technical Report Suggesting Saudi Arabia’s Prince Hacked Jeff Bezos’ Phone,Motherboard,2020年1月23日

*5:直接この調査とは関連しないが、ベゾス氏はバックアップの暗号化解除ができなかった(”Bezos, however, had iCloud backups disabeld on his device.")とする記述 があり、氏がパスワードを忘れたのではないかとMotherboardが指摘していた。

*6:サウジ当局 アマゾン創業者の携帯電話ハッキングか,NHK,2020年1月23日

*7:全てがそうではなく、一部はFTIコンサルティングの調査結果を受けた記事もある。

*8:米政府への要求に対して法的な拘束力はない

*9:報告書を見るとiPhoneだった