シチズン・ラボは、パラゴン・ソリューションズの「グラファイト」スパイウェアが少なくとも2人のヨーロッパ人ジャーナリストのiPhoneに感染し、Appleが2月にiOS 18.3.1で修正したこれまで知られていなかったiMessageの欠陥を悪用していたことを初めてフォレンジックで確認したと発表した。

Citizen Labが本日発表した報告書によると、両方のスマートフォンはParagonが管理する同じサーバーに接続し、攻撃者が運営するiMessageアカウント（同チームはATTACKER1と名付けている）からのトラフィックを記録したという。この一致と他の技術的特徴から、研究者たちは「高い確度」でハッキングがGraphiteによるものだと結論付けている。被害者には、ナポリに拠点を置くFanpage.itの支局長であるCiro Pellegrino氏と、匿名を希望した別の記者が含まれている。

この攻撃は、これまで知られていなかったiMessageの脆弱性を悪用し、AppleのiCloudリンク機能を悪用した。目に見えない形で送られた、罠を仕掛けた写真や動画1枚だけで、スパイウェアの侵入口が開かれた。この脆弱性は「ゼロクリック」だったため、スパイウェアが活動するためには、通報者がメッセージを開いたり、読んだり、あるいは見る必要さえなかった。Graphiteはそこから、ユーザーが気づかないうちに、チャット、写真、さらにはSignalのような暗号化されたアプリまでも探し回ることができた。

Appleは実際には数ヶ月前にこの脆弱性を修正しました。2025年2月10日、同社はiOSおよびiPadOS 18.3.1をリリースし、現在CVE-2025-43200として追跡されている脆弱性をひそかに修正しました。Citizen Labが証拠を共有した後、Appleは6月11日のアップデートでこの脆弱性を公式に命名しました。同じアップデートで、USB制限モードを回避できる可能性のある無関係の脆弱性であるCVE-2025-24200も修正されました。18.3.1以降を実行しているユーザーは保護されていますが、アップデートを延期したユーザーは依然として脆弱です。

Graphiteは、NSO GroupのPegasus、CytroxのPredator、QuaDreamのReignと並んで、傭兵スパイウェアの熾烈な競争に加わりました。いずれも、暗号化を突破するために数百万ドルを支払うことをいとわない政府に対し、ターンキー方式の電話ハッキングを約束しています。ヨーロッパは厳しい状況に置かれています。欧州議会議員はスパイウェアの悪用を調査しており、イタリアの諜報監視委員会は、同国の治安機関が活動家に対してGraphiteを使用していたことが明らかになったことを受けて、Paragonに関する公聴会を開始しました。

Citizen Labは、確認された感染が一つ一つ報道の自由を蝕んでいると指摘しています。目に見えないプログラムが下書き、連絡先リスト、位置情報を盗み取っている限り、ジャーナリストは情報源を守ることができません。Citizen Labは、Appleの脅威アラートやMeta、WhatsAppからの同様の警告を受け取った人は、不具合と片付けるのではなく、緊急の対応として専門家の助けを求めるよう強く求めています。

一方、Appleは、バグの公開は修正プログラムのリリース後にのみ行うとしており、早期の公表は攻撃者にとって武器となるだけだと主張している。批判的な人々は、同社の隠蔽工作によって、一般ユーザーはアップデートを遅らせることで生じるリスクに気付かないままになっていると反論する。両者が一致しているのは、迅速なパッチ適用が重要であるという点だ。私たちのほとんどにとって、ソフトウェアアップデートは金で買える最も安価な防弾チョッキのようなものなのだ。

Appleのハッキングは稀だが、不可能ではない

ゼロクリックエクスプロイトは数百万ドル規模の被害をもたらし、高価値な標的を狙っていますが、被害者が定期的なアップデートを遅らせることを悪用しています。お使いのiPhoneがすでにiOS 18.3.1以降であれば、Graphiteから保護されています。アップデートを延期している場合は、最新リリースをすぐにインストールし、「設定」>「一般」>「ソフトウェアアップデート」で自動アップデートをオンにしてください。

仕事柄、標的になりやすい場合はロックダウンモードを有効にしてください。最後に、Appleからの脅威通知を決して無視せず、緊急対応として対応し、Access Nowのようなデジタルセキュリティホットラインに連絡して、専門家にデバイスを検査してもらいましょう。高度なスパイウェアでも、既に溶接で閉じられたドアからは侵入できません。