既存のスパイウェアを緻密に計画されたフィッシングやソーシャルエンジニアリングと組み合わせると政権崩壊まで引き起こせることが明らかに

2025年06月09日 19時00分 セキュリティ

2024年12月、シリアで長年独裁体制を敷いていたバッシャール・アル＝アサド大統領が反体制派の攻撃を受け国外に亡命したことで、アサド政権が崩壊しました。このアサド政権の崩壊には、シリア軍将校の間で流行していたスパイウェアが一役買っていたことが明らかになっています。

How a Spyware App Compromised Assad’s Army - New Lines Magazine

https://newlinesmag.com/reportage/how-a-spyware-app-compromised-assads-army/

Analysis of Spyware That Helped to Compromise a Syrian Army from Within

https://www.mobile-hacker.com/2025/06/05/analysis-of-spyware-that-helped-to-compromise-a-syrian-army-from-within/

アサド政権の崩壊における技術的な側面を調査した結果、シリア軍将校の間で「STFD-686」と呼ばれるスパイウェアが流行していたことが明らかになっています。セキュリティブログのMobile Hackerによると、このスパイウェアはスマートフォンから機密データを盗み出し、シリア政権の崩壊に一役買ったそうです。

STFD-686について、Mobile Hackerは「スマートフォンを利用したスパイ活動は必ずしも高価なゼロデイエクスプロイトや、高度なカスタムメイドの検出されないスパイウェアの開発が必要ではないことを示しています」と指摘。むしろ、古くから存在する市販のスパイウェアを巧妙に練られたフィッシングキャンペーンやソーシャルエンジニアリングと組み合わせるだけで、致命的なスパイ活動に応用できると述べました。

10年におよぶ戦争と深刻な経済崩壊によって弱体化していたシリア軍では、兵士の給料はわずか月額20ドル(約2900円)にまで急落していたそうです。そのため、シリア軍の将校や兵士を搾取することが容易な環境が生まれていました。

2024年の初夏、STFD-686(Syria Trust for Development)と呼ばれるスマートフォン向けアプリがシリア軍の将校の間で流通し始めます。このアプリはアスマー・アル＝アサド氏が監督する人道支援組織「Syria Trust for Development」の名前を利用して、信頼性があるように見せかけたアプリで、同じく「Syria Trust for Development」と名付けられたTelegramチャンネルを通じて配布されていたそうです。STFD-686はSyria Trust for Developmentの組織名・ロゴなどを流用し、公式ドメイン(syriatrust.sy)も模倣していた模様。

シリア軍兵がSTFD-686を利用した理由は、このアプリが毎月約40ドル(約5800円)の現金を送付すると約束していたためです。アプリをインストールすると、ユーザーはアンケートに回答しなければならず、これにより攻撃者は兵士からデータを収集することが可能になりました。

以下がアプリ起動時に表示されるアンケート画面。これはフィッシングの一種であるとMobile Hackerは指摘。

ユーザーがこのアンケートに回答することで、攻撃者はユーザーの電話番号・軍での階級・所属師団・勤務地などの軍事情報を収集することが可能です。これにより、反体制派は「軍事アルゴリズムに入力するデータを入手可能となり、正確な戦場地図を作成することが可能になった」とMobile Hackerは指摘しています。 STFD-686に利用されているのは、「SpyMax」と呼ばれるAndroidを標的としたリモートアクセス型のトロイの木馬です。SpyMaxはSpyNoteと呼ばれるマルウェアファミリーの一部で、2018年頃にダークネット上のフォーラムなどで初めて確認されました。SpyMaxはAndroidデバイスに密かに侵入するよう設計されており、攻撃者は感染したスマートフォンを完全にコントロール可能で、具体的には「カメラやマイクによる監視」「GPSによる追跡」「メッセージの傍受」などができます。 当初、SpyMaxはハッキングフォーラムなどで販売されていましたが、最終的により広範なサイバー犯罪者が自由にアクセスできるようになり、標的型監視やクライムウェア攻撃などで、SpyMaxが広く悪用されるようになりました。

STFD-686はTelegramチャンネルで配布されており、通信には2つのドメインを使用していました。ひとつはユーザーデータを誘い出すためのフィッシングドメイン(syr1.store)で、もうひとつはペイロードをダウンロードしてデータを盗み出すC＆Cサーバー(west2.shop)です。 Mobile Hackerがこれらのドメインを分析したところ、同じドメインを利用した類似アプリを複数発見しています。その類似アプリが以下。

他にも、同じC＆Cサーバーを利用しているものの、異なるフィッシングサイト(syr1.online)を利用しているというケースもあったそうです。

これらのアプリがスマートフォンにインストールされると、通常の動作を装って連絡先、メッセージ、カメラ、マイク、位置情報などへのアクセスを要求してきます。以下はSTFD-686と類似アプリが要求してくる権限をまとめたスクリーンショット。

スパイウェアが通信するドメインはAPKリソースにハードコードされています。

SpyMaxと他の市販スパイウェアの主な違いは、SpyMaxにはメインアプリ(この場合はTelegramチャンネルからダウンロードするアプリ)に実装されている悪意のある機能が、すべて備わっていないということです。SpyMaxはC＆Cサーバーと通信し、必要に応じて各機能をAPKまたはペイロードとしてダウンロードするよう設計されています。

Mobile Hackerは実際にペイロードを入手することはできなかったとしていますが、SpyMaxはデフォルトで8つのペイロードを使用しているそうです。これを使用することで、SpyMaxは「デバイスからカメラをストリーミング」「マイクを使って音声を録音」「デバイスの位置を追跡」「キーログユーザー入力」「モバイルデバイスからファイルをアップロードおよびダウンロード」「インストールされているアプリからSMS、連絡先、通話履歴を盗み出す」といったことが可能になる模様。 反体制派がSpyMaxを使用した主な理由は、シリア軍の作戦状況に関する動的な情報を入手するためです。収集した個人情報とリアルタイム監視機能を組み合わせることで、攻撃者は「大隊指揮官や通信士官などの機密性の高い役職の士官を特定する」「シリア軍の防衛線の拠点と隙間の両方を図表化した部隊展開のライブマップを作成」「配備された部隊の実際の規模と強さを評価」「電話での会話、テキストメッセージ、機密文書、地図へのアクセス」などが可能になりました。 Mobile Hackerは「この攻撃が特異なのは、通常個人をターゲットとする他のスパイウェア活動とは異なり、Androidのスパイウェアを使用した原始的だが破壊的なフィッシング攻撃を通じて、軍事機関全体を危険にさらすことに重点を置いていたと思われるためです」と指摘。今回の事例はスパイ活動には高価なゼロデイ脆弱性攻撃や高度なスパイウェアは必要ないことを示しており、SpyMaxのような市販ツールと巧妙なフィッシングやソーシャルエンジニアリングを組み合わせることで、「大きな成果を発揮できることを示している」とMobile Hackerは記しました。