高額スパイウェアはもう不要。「雇われハッカー」はフィッシング1通でiPhoneを丸裸にするらしい

「自分のスマホが誰かに覗かれている」——そんな恐怖は、映画の中だけの話ではなくなりつつあります。セキュリティ研究者たちが新たに特定したのは、政府機関からの依頼を受けてハッキングを請け負うとされる「ハックフォーハイア（雇われハッカー）」グループ。ターゲットはジャーナリストや人権活動家だけでなく、政府高官にまで及んでいました。しかも使われた手口は、私たちの日常にも潜む「フィッシング」と「偽アプリ」です。

何が起きたのか——3組織の共同調査で判明した攻撃の全容

デジタル人権団体のAccess Now、モバイルセキュリティ企業のLookout、そしてレバノンのデジタル権利団体SMEXは共同で調査を行い、それぞれ別々のレポートを公開しました。

Access Nowは2023年から2025年にかけての3つの攻撃事例を記録しています。被害が確認されたのは2人のエジプト人ジャーナリストと1人のレバノン人ジャーナリストです。しかしLookoutの調査によれば、攻撃対象はこれだけにとどまりません。バーレーンやエジプトの政府関係者、さらにUAE、サウジアラビア、英国、そして米国の関係者またはアメリカの大学の卒業生にまでターゲットが広がっている可能性があるといいます。

注目すべきは、この攻撃を仕掛けたグループの正体です。Lookoutは、サイバーセキュリティ各社がインド政府との関係を疑う「BITTER APT」というハッキンググループと関連のあるハックフォーハイアベンダーが背後にいる可能性が最も高いと結論づけました。

iPhoneユーザーを狙う手口——Apple IDを盗んでiCloudを丸ごと取得

今回の攻撃が巧妙なのは、高額な「ゼロクリック型」スパイウェアに頼らず、もっとシンプルで安上がりな方法を使っている点です。

iPhoneユーザーに対しては、フィッシング攻撃でApple IDの認証情報（メールアドレスとパスワード）を騙し取る手法が使われました。これに成功すると、攻撃者はターゲットのiCloudバックアップにアクセスでき、事実上iPhone内の全データ——写真、メッセージ、連絡先、アプリデータなど——を丸ごと取得できてしまいます。

Access Nowはこれを「より高度で高価なiOSスパイウェアの、潜在的に安価な代替手段」と評しています。実際、SMEXの調査によれば、攻撃者は2025年5月19日にレバノン人ジャーナリストのAppleアカウントを完全に侵害し、永続的なアクセスを獲得したとされています。

つまり、高額なスパイウェアを購入しなくても、巧みなフィッシング1通でiPhoneの中身すべてに手が届くわけです。

Androidユーザーには偽アプリ「ProSpy」を配布

Androidユーザーに対しては、「ProSpy」と呼ばれるスパイウェアが使用されました。このスパイウェアはSignal、WhatsApp、Zoom、そして中東で人気のToTokやBotimといった有名メッセージアプリに偽装されていました。

Lookoutの調査によると、ProSpyはKotlinというプログラミング言語で開発されており、連絡先、SMS、ファイル、チャットバックアップ、位置情報などを収集する機能を持っています。インストールしてしまえば、端末がほぼ丸ごと攻撃者に掌握されるということです。

さらに一部のケースでは、被害者のSignalアカウントにハッカーが管理するデバイスを新規登録させるという手法も確認されています。この手口はロシアのスパイ組織にも使われている既知のテクニックで、成功すると被害者のメッセージがリアルタイムで攻撃者にも届くようになります。

「雇われハッカー」ビジネスの闇——なぜ政府はハッキングを外注するのか

今回の事件で浮き彫りになったのは、政府がハッキング業務を民間企業に外注する動きが加速しているという現実です。

Lookoutの主任研究員であるJustin Albrecht氏はTechCrunchの取材に対し、今回のキャンペーンの背後にいる企業はインドのハックフォーハイア企業Appinの派生組織である可能性を指摘し、具体的にRebSecという企業名を挙げています。さらに「（Appinの活動は）消えたのではなく、より小さな企業に移行しただけだ」と述べています。Appinは少なくとも2009年からハッキング業務を提供していた「元祖ハックフォーハイア企業」とも呼ばれる存在で、2022年と2023年にReutersが詳細な調査報道を行い、企業幹部や政治家、軍関係者へのハッキングに関与していた疑いを明らかにしていました。

Albrecht氏は、こうしたグループが顧客に提供する最大の価値は「もっともらしい否認可能性（plausible deniability）」だと指摘します。すべての運用とインフラを外注先が管理するため、依頼主の政府は「自分たちは関与していない」と主張できるわけです。しかも商用スパイウェアを購入するよりコストが安い可能性が高いとも語っています。

攻撃はますます安く、追跡は困難に

Access NowのDigital Security Helpline責任者であるMohammed Al-Maskati氏も、「これらの作戦はより安価になっており、責任を回避することも可能だ。最終的な顧客が誰なのかも分からないし、インフラからも背後の組織は特定できない」と警鐘を鳴らしています。

Proofpointとthreatreyの共同研究によれば、BITTER APTは2013年から活動が確認されており、インド標準時の月曜から金曜、いわば「営業時間」に攻撃活動を行うことが示されています。組織的かつビジネスライクに運営されている実態がうかがえます。

「自分は関係ない」と思っている人こそ危ない

「ジャーナリストや政府関係者が狙われた話でしょ？ 自分には関係ない」——そう思った方もいるかもしれません。しかし今回の攻撃で使われた手口、つまりフィッシングによるApple ID窃取と、有名アプリに偽装したスパイウェアは、一般ユーザーに対する詐欺やサイバー犯罪でも広く使われている手法です。

特にiCloudバックアップへの攻撃は、高度な技術力がなくても成立するという点で深刻です。Apple IDとパスワードさえ手に入れてしまえば、あとはログインするだけ。あなたのiPhoneのバックアップも、パスワード1つで丸裸にされるリスクがあるということです。

スマホライフPLUS編集部として、読者の皆さんに今日からやっていただきたい自衛策を3つにまとめました。

今すぐ確認したい3つの自衛アクション

① Apple ID・Googleアカウントの二要素認証を「必ず」有効にする フィッシングでパスワードが漏れても、二要素認証が有効なら突破は格段に難しくなります。iPhoneの場合は「設定」→「自分の名前」→「サインインとセキュリティ」から確認できます。まだの方は最優先で設定してください。

② Signalの「リンク済みデバイス」を今すぐ確認する 今回の攻撃では、被害者のSignalアカウントに攻撃者のデバイスを追加登録する手口が使われました。Signalアプリの「設定」→「リンク済みデバイス」を開き、身に覚えのないデバイスが登録されていないか確認しましょう。見慣れない端末があれば、即座に削除してください。

③ アプリは必ず公式ストアからインストールする ProSpyはSignalやWhatsAppなどの有名アプリに偽装されていました。メッセージやWebサイトのリンクから直接アプリをインストールするのは絶対に避け、必ずApp StoreまたはGoogle Playからダウンロードする習慣をつけましょう。Android端末では「提供元不明のアプリ」のインストール許可がオフになっていることも確認してください。