Citizen Labは4月11日(カナダ時間)、「Sweet QuaDreams: A First Look at Spyware Vendor QuaDream’s Exploits, Victims, and Customers - The Citizen Lab」において、イスラエルに拠点を置くスパイウェアベンダー「QuaDream」の脅威について伝えた。QuaDreamによって開発されたiOS向け商用スパイウェアの実態や被害者などが報告されている。

  • Sweet QuaDreams: A First Look at Spyware Vendor QuaDream’s Exploits、Victims、and Customers - The Citizen Lab

    Sweet QuaDreams: A First Look at Spyware Vendor QuaDream’s Exploits, Victims, and Customers - The Citizen Lab

Citizen Labによる主な調査結果は次のとおり。

  • Microsoft Threat Intelligenceから共有されたサンプルの分析に基づき、北米、中央アジア、東南アジア、ヨーロッパ、中東でQuaDreamのスパイウェアおよびエクスプロイトによる被害者を確認。被害者は少なくとも5名いることが判明しており、ジャーナリスト、政治的野党の人物、非政府組織(NGO)の職員が含まれている
  • QuaDreamの商用スパイウェアを展開するために使われたiOS 14のゼロクリックエクスプロイトと疑われる手がかりを発見。iOS 14.4および14.4.2を標的としたスパイウェアは「ENDOFDAYS」と呼ばれている
  • ENDOFDAYSの攻撃には、ユーザーの目に見えないiCloudカレンダーのイベント招待が悪用されている
  • インターネットスキャンを行うことでQuaDreamサーバを特定している。ブルガリア、チェコ、ハンガリー、ガーナ、イスラエル、メキシコ、ルーマニア、シンガポール、アラブ首長国連邦(UAE)、ウズベキスタンにサーバがあることが確認されている。また一部でQuaDreamのオペレータの所在地まで特定している
  • QuaDreamはキプロスの企業であるInReachと提携関係にあった。現在、両社は法的係争中とされている。両社に関わっているとみられる多数の重要人物は、別のスパイウェアベンダーであるVerintやイスラエル政府の諜報機関と関係があると考えられている
  • Suspected locations of QuaDream operators.

    Suspected locations of QuaDream operators.

QuaDreamは数年前から事業を開始し、高度なスパイウェア製品を開発するとともに世界中の多くの政府系クライアントと取引しているとみられている。傭兵スパイウェア業界の規模は大きいとし、セキュリティ研究者および潜在的な標的は継続的な警戒を行う必要があると伝えている。