セルビア政府が新たに展開したAndroid向けスパイウェア「NoviSpy」は、Qualcommチップのゼロデイ脆弱性を悪用して活動家やジャーナリストのデバイスを監視していたことが明らかになった。Google Project Zeroは、この脆弱性「CVE-2024-43047」が積極的に悪用されていると指摘し、修正パッチを提供したのは11月のことだ。

調査は、国際アムネスティのセキュリティラボがセルビア人ジャーナリストの端末を解析したことに端を発する。同ラボによれば、警察署での拘束後にスマートフォンが異常動作し、その後、QualcommのDSPドライバに存在する複数の脆弱性が確認された。この攻撃では、Cellebriteのロック解除ツールとゼロデイ脆弱性が組み合わされ、標的となる端末にNoviSpyが配備されたとされる。

NoviSpyの感染にはゼロクリック攻撃も関与し、VoLTEやWi-Fi通話の脆弱性を突く手法が採用された可能性が高い。Google TAGはQualcommに複数の脆弱性を報告し、修正が進められているものの、完全な対策には時間がかかる見込みだ。数百万台のデバイスが依然として危険に晒されており、現状のセキュリティアップデートの適用が急務とされている。

QualcommのDSP脆弱性がもたらす具体的な危険とその影響範囲

QualcommのDSPドライバ「adsprpc」に関連する複数の脆弱性は、Androidデバイスの広範な危険を浮き彫りにした。

特にCVE-2024-43047を含む6つの脆弱性の存在が確認され、Google TAGの調査では高度なエクスプロイトチェーンが利用されていたことが判明している。これらの脆弱性はデバイスのメモリ破損や権限昇格に悪用される可能性があり、攻撃者はユーザーの端末をリモートから制御できる状況を生み出している。

これに加え、NoviSpyの配備方法として、ゼロクリック攻撃の疑いが高まっている。Wi-Fi通話やVoLTE機能の脆弱性を突くことで、ユーザーが気づかないうちにデバイスが感染する仕組みだ。この「ゼロクリック」の手法は、ユーザーの操作を一切必要とせず感染させるため、これまでの一般的なフィッシング攻撃よりも危険度が格段に高いといえる。

その影響範囲は膨大だ。Google TAGとAmnesty Internationalは、多くのAndroidデバイスにこの脆弱性が潜在的に存在しており、Qualcommチップセットを搭載した数百万台が依然として標的になり得ると指摘する。特に旧型デバイスやアップデートが滞っている端末は、現時点でも深刻なリスクを抱えていることは無視できない事実だ。

また、Cellebriteのロック解除ツールが利用されたことで、物理的なデバイス操作が可能な状況では脆弱性の悪用がさらに加速する。このようなツールは、監視機関や政府の捜査機関による利用が多く、標的の個人情報を無制限に取得する手段として活用されている。デバイスの安全性を確保するためにも、パッチ適用がいかに急務であるかが改めて浮き彫りになった。

標的型監視ツールとしてのNoviSpyが示す新たな脅威の実態

NoviSpyが活動家やジャーナリストといった特定の人物を標的にしている点は、単なるサイバー攻撃を超えた問題だ。

このスパイウェアは物理的拘束中のデバイスを狙って配備されるという、従来の手法とは一線を画する高度な監視ツールである。Amnesty Internationalの報告書では、セルビアの安全情報機関(BIA)と警察が直接関与したことが示唆されている。これにより、国家が関与するサイバースパイ活動の実態が白日の下に晒された。

技術的に見れば、NoviSpyはデバイス内部の通信やデータ取得を行うだけでなく、標的の行動追跡まで可能にしている。BIAに関連するIPアドレスと通信していることが確認されており、構成データには過去の監視プログラムに関わった形跡も残されている。このことからも、特定のターゲットを徹底的に監視する目的で高度にカスタマイズされたスパイウェアであることがうかがえる。

一方、NoviSpyのようなツールが現れる背景には、政府や機関がこうした監視技術を積極的に導入している現状がある。Cellebriteや類似のロック解除ツールが市場に存在し、国家や法執行機関がサイバースパイ活動に利用するケースは増加している。これにより、政府による監視とプライバシー侵害の境界が曖昧になりつつあるという点は、深く考慮すべき問題だ。

ユーザーにとっては、日常的に利用しているスマートフォンがいつ標的となるか分からない状況である。ゼロクリック攻撃や高度なツールの存在が示すように、個人のセキュリティ対策だけではもはや防ぎきれない脅威が広がっている。こうした技術が悪用され続ける限り、国家とテクノロジーの関係性に対する警戒が不可欠だろう。