Lookoutは12月11日(米国時間)、「Lookout Discovers New Chinese Surveillance Tool Used by Public Security|Threat Intel」において、中国公安局が使用する新しい監視ツール「EagleMsgSpy」を発見したと伝えた。

EagleMsgSpyの主な目的は、容疑者のモバイルデバイスから幅広い情報を収集することにあるとみられる。

  • Lookout Discovers New Chinese Surveillance Tool Used by Public Security|Threat Intel

    Lookout Discovers New Chinese Surveillance Tool Used by Public Security|Threat Intel

EagleMsgSpyの概要

Lookoutの研究者によると、EagleMsgSpyは2017年から運用が開始された監視ツールで、Androidデバイスを標的とする。iOSについてもコンポーネントの存在が示唆されているが、サンプルは発見されていない。

EagleMsgSpyによる監視操作を開始するには、デバイスへの物理的なアクセスが必要とされる。インストール作業などはデバイスを入手した当局担当官により直接行われるとみられ、他の配布手段は確認されていない。

  • EagleMsgSpyのモジュールインストール画面 - 引用:Lookout

    EagleMsgSpyのモジュールインストール画面 引用:Lookout

EagleMsgSpyにより収集される情報は次のとおり。

  • デバイスの使用状況と受信メッセージ
  • QQ、Telegram、Viber、WhatsApp、WeChatアプリのすべてのメッセージ
  • 画面キャプチャー(動画)
  • スクリーンショット
  • 音声
  • 通話ログ
  • 連絡先
  • SMSメッセージ
  • インストール済みアプリの一覧
  • 全地球測位システム(GPS: Global Positioning System)の座標
  • Wi-Fiおよびネットワーク接続情報
  • 外部ストレージ内のファイル一覧
  • Webブラウザのブックマーク

収集された情報は当局が管理しているとみられるコマンド&コントロール(C2: Command and Control)サーバに送信される。サーバには不正アクセス対策として認証システムが搭載されているが、Lookoutの研究者はサーバコードの大部分を入手している。

なお、EagleMsgSpyの開発企業は「Wuhan Chinasoft Token Information Technology」の可能性が高いと推測されている。難読化技術と暗号化手法が高度化し続けていることから、開発は現在も継続中とされる。

影響と対策

EagleMsgSpyは中国国内において合法のツールとされる。そのため、スパイウェアやマルウェアとして評価されていない。しかしながら、中国国外では情報窃取マルウェアとして機能する。中国滞在時にデバイスを一時的に手放した経験のあるユーザーは注意する必要がある。

Lookoutは調査の過程にて判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。