ジェフ・ベゾスの電話ハッキング事件を解読する:法医学報告書から私たちが学べること
ジェフ・ベゾスのスマートフォンが再び話題になっている。Amazon創業者でありワシントン・ポスト紙のオーナーでもあるベゾスのスマートフォンが、サウジアラビアのムハンマド・ビン・サルマン皇太子(通称MBS)によってハッキングされたという伝聞情報が数日前から流れていたが、ついに事件に関する完全な鑑識報告書を入手できた。
マザーボードはここにコピーを掲載しました。この報告書は、ベゾス氏の調査員の依頼を受け、FTIコンサルティング社が作成しました。コンピューターフォレンジックに興味のある方なら、読み応えのある内容で、優れたフォレンジックレポートに求められる詳細な情報を提供しています。例えば、報告書には、FTIが携帯電話を受け取った後、施設は24時間体制で警備されていたと記されています。
しかし、15 ページを超えるフォレンジック レポートを読みたくない場合は、次の重要なポイントに注目してください。
- FTIの調査では、システム上のマルウェアを発見または特定することはできなかった。
- FTI は、iTunes バックアップのパスワードがなかったため、デバイスに完全にアクセスできませんでした。
- ベゾス氏とMBS氏は2018年4月4日にWhatsApp経由でMBSにメッセージを送信し、2018年4月5日に返信を受け取った。どうやら電話番号を交換するためだったようだ。
- 2018年5月1日、ベゾスはムハンマド・ビン・サルマン(MBS)から大容量の動画ファイルを添付したメッセージを受け取った。これは「予期せず、説明もなく届いた」という。
- 2019年5月1日以降、「WhatsAppビデオファイルを受信した後、ベゾスの携帯電話から送信されるデータ量は劇的に変化し、ベースラインに戻ることはありませんでした。デバイスから送信されるデータ量は、即座に29,000パーセント増加しました。」
元Facebook最高セキュリティ責任者のアレックス・ステイモス氏は、この報告書に対する自身の見解をTwitterのスレッドに投稿した。「このFTIの鑑識報告書はあまり説得力がありません。確かに奇妙な状況証拠はたくさんあるものの、決定的な証拠はありません。おかしなのは、FTIが凶器をまさにそこに持っている可能性があるのに、それをどのように検査するかがまだわかっていないということです。」とステイモス氏は的確に表現している。
この最後の点は重要であり、FTIも明確に認識しています。報告書によると、FTIは引き続き更なる調査の方向性を検討しています。そして、Stamos氏が分析結果を投稿した後、セキュリティコミュニティの多くの人々が協力を申し出てくれたという、クラウドソーシングの好例と言えるでしょう。
なぜこの調査は「それほど強力ではない」のでしょうか?報告書執筆時点で、FTIはデバイスへの完全なアクセスを取得できず、完全なフォレンジック分析を実施できなかったためです。これは、報告書で詳述されているiTunesバックアップの問題、おそらくパスワード忘れによるものと思われます。
言い換えれば、ベゾス氏の捜査員たちは、フロリダ州ペンサコーラの海軍基地銃撃事件に関連して法執行機関がiPhoneで直面している問題と同じ問題に直面しているということだ。このため、ウィリアム・バー司法長官とトランプ大統領は暗号化を回避する方法を求める声を新たにし、1990年代の「暗号化戦争」を再燃させている。
しかし、FTIコンサルティングの調査員たちは、説得力のある状況証拠を提示した。明らかに2018年5月1日にベゾス氏の携帯電話に何かが起こり、大量のデータが送信され始めた。そして、それはベゾス氏がMBSから予期せぬ動画を受け取った日と重なる。FTIコンサルティングは、国家などが利用するハッキング・監視ツールの開発で知られる企業、ハッキングチームの顧客が、2018年5月に、自動的にダウンロードされる写真や動画によってデバイスを感染させる可能性について問い合わせていたことを指摘し、証拠を示すことで、状況証拠の裏付けを強化している。この問い合わせでは、ベゾス氏とMBSが使用していたFacebook傘下のアプリ、WhatsAppについてまで具体的に尋ねている。
では、我々はどうなるのでしょうか? 合理的かつ信憑性のある状況証拠が提示されています。同時に、まだ解明されていない技術的な謎も残されていますが、将来解明されるかもしれません。この件への関心の高さだけでも、この不十分な答えが永遠に続くことはないでしょう。セキュリティコミュニティが優れた挑戦を好み、今まさに飛び込もうとしている熱意も加えると、この件からさらに何かが生まれることは十分に期待できます。
一方で、これは私たちに何を教えてくれるのでしょうか?
まず、国家レベルの攻撃の標的になる可能性がある場合は、定期的に携帯電話を交換する必要があります。この報告書で私が驚いたのは、ベゾス氏がほぼ1年間、同じ設定の同じ携帯電話を使い続けていたということです。2018年5月からマルウェアが感染していたとすれば、2019年2月まで、つまり実に8ヶ月もの間、まだ活動していたようです。この出来事は、セキュリティにおける重要な原則を改めて思い起こさせます。それは、物理的なデバイスが安全でなければ、何もかもが無駄になるということです。誰かが物理的にデバイスにアクセスできれば、その人の所有物になります。実際、この事件で更なる情報を得る鍵となるのは、捜査官がベゾス氏の物理的なデバイスを所持し、それを解読できるかどうかでしょう。
第二に、FTIコンサルティングの報告書は、ハッキングした人物が2019年2月にハッキングの可能性に関する電話ブリーフィングを盗聴していたという、もう一つの合理的な状況証拠を提示しています。これは、侵入されたモバイルデバイスがスパイの最大の味方であることを改めて示しています。モバイルデバイスは設計上、音声・動画収集機能を備えています。また、攻撃者にユーザーの位置情報を提供してしまう可能性があります。さらに、デバイスに保存されているすべてのメール、ソーシャルメディアアカウント、アプリへのアクセスも可能になります。ほとんどの人がスマートフォンに依存していることを考えると、これは完全なアクセスを可能にすることになります。
第三に、WhatsAppやSignalのような「安全な」チャットアプリでさえ、万全のセキュリティ対策が講じられているわけではないことが浮き彫りになりました。これらのアプリは確かに会話の暗号化を提供していますが、重要なのは「エンドツーエンドの暗号化」です。つまり、片方の端末がマルウェアに感染すれば、すべてが台無しになってしまうのです。
この話はまだ終わっていません。まだ決定的な答えはありません。私もまだ100%確信しているわけではありません。しかし、状況証拠は存在します。ですから、将来的には100%確信できる可能性がほぼ100%あると確信しています。そして、さらなる調査が行われ、それが成功すれば、その状況証拠はさらに確固たるものになるかもしれません。
最後に、億万長者やIT業界の人でさえハッキングされる可能性があるという警告です。くれぐれもご注意ください。
