ハッカーはさまざまなツールを使用してコンピュータやその他のデバイスにアクセスし、大混乱を引き起こします。ただし、最も危険なゼロクリック攻撃の 1 つは、手遅れになるまで認識することが難しいことが多いため、特に厄介です。さらに、その名前が示すように、ゼロクリック攻撃は、スミッシングやフィッシングなどの他の攻撃方法とは異なり、マウスのクリック、キー押下、その他のユーザー操作などの所有者によるアクションを必要としません。代わりに、攻撃者が行う必要があるのは、危険なファイルをデバイスに送信し、エクスプロイトを実行させることだけです。
ゼロクリック攻撃はどのように行われるのでしょうか?
ほとんどのゼロクリック攻撃は、WhatsApp、Facebook Messager、Apple iMessage、Telegram などのメッセージング アプリや音声通話アプリを介して行われます。これは、これらのアプリが信頼できないソースからデータを受信して解釈するためです。ゼロクリック攻撃が機能するのは、デバイス上でのデータの検証または処理方法の欠陥を悪用し、データ検証の抜け穴を利用して侵入するためです。攻撃は、Wi-Fi、NFC、または Bluetooth 経由で配信される隠しテキスト メッセージ、電子メール、ボイスメール、または画像ファイルを通じて行われます。ゼロクリック攻撃は、インストールされると未知の脆弱性を起動し、所有者の知らないうちにハードウェアまたはソフトウェアを急速に攻撃します。
Citizen Lab の上級研究員である Bill Marczak 氏は、ブルームバーグに次のように説明しました(新しいタブで開きます) : 「クリックがゼロであれば、携帯電話がハッキングされる可能性があり、痕跡はまったく残されません」と Marczak 氏は述べています。「セキュリティ意識が高い人の携帯電話に侵入することは可能です。ターゲットは蚊帳の外です。彼らに何かをするよう説得する必要はありません。それは、最も懐疑的で綿密な標的であってもスパイされる可能性があることを意味します。」
ゼロクリック攻撃が危険な理由
ゼロクリック攻撃はその設計により、何も知らない被害者にはほとんど気づかれず、従来のハッキング手法よりもはるかに簡単に実行できます。
危険である可能性があるその他の理由としては、次のようなものがあります。
- 他の脆弱性とは異なり、このタイプのエクスプロイトでは、被害者を誘導してタスクを実行させる必要はありません。
- ゼロクリック攻撃は、エンドポイント セキュリティ、ウイルス対策システム、またはファイアウォール システムをバイパスする可能性があります。
- モバイルデバイスは特に攻撃を受けやすい
- ユーザーの操作が必要ないため、悪意のあるアクティビティの痕跡が少なくなります。
デバイス上でゼロクリック攻撃が実行されると、ハッカーは閲覧履歴、カメラロール、位置情報、連絡先など、ユーザーが望む情報を収集し始める可能性があります。また、監視ソフトウェアを追加して会話を傍受し、見つけたものを不正な目的に使用する可能性もあります。感染したデバイスがサイバースパイ活動に使用される場合があります。
一部のハッカーはこれをさらに進めて、ユーザーファイルを暗号化し、身代金を要求することを決定します。この場合、攻撃はランサムウェアです。このような場合は、苦労して稼いだ現金を渡す前に当局に連絡するのが最善です。
ゼロデイ攻撃と同じではないでしょうか?
多くの場合、ゼロクリック攻撃はゼロデイ攻撃に依存して機能します。それでも、それらは同じではありません。前者は、ユーザー入力を必要としないタイプの脆弱性です。後者はソフトウェア プロバイダーにまだ知られていない脆弱性であるため、修正を提供するパッチがすでに利用可能である可能性は低くなります。
できること
ゼロクリック攻撃を含むさまざまな種類のサイバー攻撃から身を守るための措置を講じることができます。しかし、残念なことに、このような状況が続くと、自分自身を守る確実な方法はありません。
Better Business Bureau と National Cybersecurity Alliance (新しいタブで開きます) は、最初にできることは、オペレーティング システムやアプリを含むデバイス上のソフトウェアが最新であることを確認することだと述べています。特に、重要なソフトウェア更新には特に注意を払い、すぐにインストールしてください。また、電子メールやメッセージを通じて届く、見知らぬソースからのリンクをクリックしないようにする必要があります。疑わしい場合はメッセージを削除し、個人情報を決して漏らさないようにしてください。
アカウントへのアクセスには、 2 要素認証などの強力な認証を使用します。セキュリティ層が追加されると、誰かが個人情報を取得することがより困難になる可能性があります。長く、一意で、強力なパスワードを作成することも重要です。
Because some zero-click attacks are ransomware, it's good to back up your device regularly. With backups, getting back online after an attack is much easier. You should also turn off web browser pop-ups, which sometimes contain vulnerabilities.
Another solution is to delete unnecessary messaging apps on your device. Do you really need Telegram? How often do you use Facebook Messenger? If you don't use them, remove them from your device.
Unfortunately, even after an end-user performs each of the steps above, vulnerabilities can remain if manufacturers and software developers aren't on top of it. Therefore, the best solution to resolving zero-click attacks is for these folks to thoroughly inspect code and make the necessary to limit the possibility of exploitable bugs.
Real world examples of zero-click attacks
There are plenty of examples of zero-click attacks happening in the wild, including many that TechRadar has covered in recent years.
In April, for example, a zero-click iPhone exploit was discovered in Apple’s iMessage program. It was used by the dreaded Pegasus spyware title from the NSO Group,. The exploit was installed on endpoints belonging to members of the European Parliament, every Catalan president since 2010, as well as Catalan “legislators, jurists, journalists, and members of civil society organizations and their families”.
Another iPhone exploit was discovered in August 2021. Called BlastDoor, the attack took advantage of an undocumented security vulnerability in Apple’s iMessage. It too involved Pegasus spyware.
3 年前、WhatsApp は不在着信をきっかけとしたゼロクリック攻撃(新しいタブで開きます)の被害に遭いました。これにより、攻撃者は 2 つのデバイス間で交換されるデータにスパイウェアを読み込むことができました。
最高のマルウェア削除ツールと最高のウイルス対策プログラムに関するレポートもぜひチェックしてください。これらはおそらくゼロクリック攻撃に特に対処するものではありません。ただし、デバイスに新しい保護層が追加されます。