AppleのiMessageの欠陥がParagonスパイウェアによってジャーナリストを標的にされる

新たに開示されたAppleのiMessageプラットフォームのゼロクリック脆弱性が、イスラエルのParagon Solutions社が開発した高性能スパイウェアを使用して、ヨーロッパのジャーナリストを監視するために悪用されました。

標的にされた2人のジャーナリスト

トロント大学のデジタル権利監視団体Citizen Labは、イタリアの出版物Fanpage.itのCiro Pellegrinoと匿名の「著名なヨーロッパのジャーナリスト」の少なくとも2人のジャーナリストのiPhoneが、2025年初頭にParagonのGraphiteスパイウェアに感染したという法医学的証拠を確認しました。

「私たちの法医学的分析は、2025年1月と2月初旬に、iOS 18.2.1を実行しているジャーナリストのデバイスの1つがParagonのGraphiteスパイウェアに侵害されたと結論付けました」と、Citizen Labsが木曜日に発表した報告書には記されています。

「私たちは、デバイス上のログが、同じ期間中に私たちが公開したFingerprint P1に一致するサーバーへの一連のリクエストを示していたため、Graphiteによる侵害を高い信頼性で特定します。」

以前の攻撃で特定された同じiMessageアカウントがPellegrinoのデバイスログに見つかり、「これをGraphiteのゼロクリック感染試行に関連付けています。」

傭兵スパイウェアベンダーは通常、各クライアントに専用のインフラを割り当てるため、このアカウントは「単一のGraphite顧客/オペレーターによってのみ使用され、私たちはこの顧客が両方の個人を標的にしたと結論付けました」と報告書は付け加えました。

Appleは2025年4月29日に両方の被害者と選ばれたiOSユーザーに通知し、「高度なスパイウェア」によってデバイスが標的にされたことを警告しました。現在修正されたゼロデイのiMessage脆弱性—CVE-2025-43200—は、スパイウェアがユーザーの操作なしにiPhoneに感染することを可能にしました。

Graphiteとは何か？

Graphiteは、元イスラエル首相エフード・バラクと関係のあるイスラエルのサイバーインテリジェンス企業Paragon Solutionsによって構築された高度な監視ツールです。このツールは、政府のクライアントがターゲットのデバイスにリモートでアクセスし、メッセージ、メール、写真、位置データ、さらにはマイクやカメラへのリアルタイムアクセスなどのデータを取得することを可能にします。

攻撃の仕組み

攻撃者は、研究文書で「ATTACKER1」とラベル付けされた一般的なiMessageアカウントを使用して、iOSがiCloudリンクを介して共有された悪意のある写真や動画を処理する際のlogicの欠陥を悪用する特別に作成されたメッセージを配信しました。この脆弱性は、iOS 18.2.1およびそれ以前のデバイスに影響を与えました。

この攻撃は、被害者からのアクションを必要としないゼロクリックエクスプロイトとして知られています—クリックもダウンロードも不要で、電話にほとんど目に見える痕跡を残しませんでした。スパイウェアが起動すると、ParagonのインフラにリンクされたVPSであるhttps://46.183.184[.]91のコマンド＆コントロールサーバーに接続し、メッセージ、メール、写真、位置情報、マイク、カメラなどに秘密裏にアクセスしました。

Appleは2025年2月10日に、iOS 18.3.1、iPadOS 18.3.1、iPadOS 17.7.5、macOS Sequoia 15.3.1、macOS Sonoma 14.7.4、macOS Ventura 13.7.4、watchOS 11.3.1、visionOS 2.3.1の一部としてこの問題に静かに対処しました。しかし、このゼロデイエクスプロイトの使用は、Citizen Labの調査後の6月に公に明らかにされました。

現在更新されたアドバイザリーで、iPhoneメーカーはこの欠陥を「iCloudリンクを介して共有された悪意のある写真や動画を処理する際に存在したロジックの問題」と説明し、脆弱性は強化された入力検証を通じて解決されたと述べています。

同社はまた、この脆弱性が「特に標的にされた個人に対する非常に洗練された攻撃で悪用された可能性があることを認識している」との報告を認めました。

スパイウェア危機によるヨーロッパのジャーナリストの危険

Citizen Labが報告書を発表した時点で、3人のヨーロッパのジャーナリストがParagonのGraphiteスパイウェアの標的であることが確認されていました—2人は法医学的証拠によって、1人はMetaの通知によって。1件はイタリアのメディアFanpage.itに関連しており、攻撃の背後に誰がいるのか、法的根拠が存在するのかという緊急の疑問を提起しています。

「これらのスパイウェアの標的に対する責任の欠如は、ヨーロッパのジャーナリストがこの非常に侵入的なデジタル脅威にさらされ続けている程度を浮き彫りにし、スパイウェアの蔓延と悪用の危険性を強調しています」と報告書は結論付けました。