エクスプロイト開発者のiPhoneが政府向けスパイウェアの標的に：Appleが攻撃検出通知を送付

佐々山 Tacos

2025.10.22

10月22日：サイバーセキュリティ関連ニュース

エクスプロイト開発者のiPhoneが政府向けスパイウェアの標的に：Appleが攻撃検出通知を送付

TechCrunch – October 21, 2025

西側諸国の政府向けにハッキングツールを開発しているスパイウェアメーカーTrenchantの元従業員が、2025年初頭に「AppleはあなたのiPhoneに対する標的型の商用スパイウェア攻撃を検出しました」との通知をApple社から受け取っていたという。スパイウェアやエクスプロイトの開発に携わる人物自身のデバイスがこうしたツールの標的になった事例は、文書化されているものとしてはこれが初だと思われる。

Appleからこの通知を受け取ったのは、TrenchantでiOSにおけるゼロデイ脆弱性の発見およびエクスプロイト開発を行っていた元従業員のJay Gibson氏（仮名）。Gibson氏は通知を受け取った2日後にフォレンジックの専門家に連絡を取り、調査を依頼。最初の分析では感染の兆候が見つからなかったものの、専門家からはさらに詳細なフォレンジック調査の実施を推奨されたという。

この深層調査のためにはデバイスの完全なバックアップを送付する必要があったが、Gibson氏はこれを快く思えなかったため調査を断念。しかしこのフォレンジック専門家がTechCrunch紙に語ったところによると、最近はスパイウェア感染の分析がより一層難しくなってきており、フォレンジックで何も見つけられないこともあるという。同専門家はまた、攻撃が初期段階で中断して完全には送信されなかった可能性もあると指摘したが、詳細な調査なしには正確なところは不明とされる。なお、Apple社が警告通知を送るのは、当該ユーザーが商用スパイウェア攻撃の標的になったという証拠を入手した時だとされる。

誰が何のためにGibson氏を狙ったのかは不明だが、同氏自身はこの攻撃をTrenchantでの職を離れることになった経緯と結びつけている。Appleからの通知が届く1か月前、当時まだ在職中だったGibson氏はTrenchantのロンドンオフィスでのイベントに招待された。2月3日、同オフィスに到着したGibson氏は会議室に呼び出され、Trenchantにおける当時のゼネラルマネージャーPeter Williams氏とビデオ通話で話すことに。そこでWilliams氏から、Trenchant社はGibson氏が二重就業していて、内部情報を他社に漏らしたのではないかと疑っていると伝えられたという。この疑惑の調査のためと称して、Gibson氏の業務用デバイスは回収され、分析にかけられることに。それから約2週間後、Williams氏はGibson氏に調査の結果解雇が決定されたと電話で伝えた。

のちにGibson氏が元同僚から聞いた話によれば、TenchantはGoogle Chromeの脆弱性数件をGibson氏が外部へ漏洩させたと考えていたという。しかしGibson氏および同氏の元同僚3人はTechCrunch紙に対し、同氏がiOSのゼロデイおよびスパイウェアのみを担当しており、Chromeのゼロデイへのアクセスを有していなかったことを請け合っている。

Gibson氏の主張は、自らは無罪であり、Trenchantからスケープゴートにされたというもの。TechCrunch紙が取材した元Trenchant従業員3人もGibson氏解雇の経緯について裏付ける発言をしており、いずれもTrenchant社の判断が間違っていたと考えているとされる。

スパイウェアやゼロデイエクスプロイトのメーカーは従来、自社のツールを政府顧客向けに、テロリストや犯罪者に対してのみ開発・提供していると主張してきた。しかしCitizen Labやアムネスティ・インターナショナルなどの報告にもある通り、近年では政府によりジャーナリストや人権保護活動家、政敵、反体制派などに対してもスパイウェアが利用されるケースが多数判明している。Gibson氏の事例はこうした被害者のタイプに新たなカテゴリ（スパイウェア／ゼロデイエクスプロイト開発者）が追加されたことを示しており、TechCrunchの情報筋3人によると、同氏以外にも数人のスパイウェア／ゼロデイ開発者がここ数か月以内にAppleからのスパイウェア検出通知を受け取っていたとのこと。

Vidarスティーラーが進化：バージョン2.0はマルチスレッドのデータ窃取を採用、検出回避力も向上

BleepingComputer – October 21, 2025

インフォスティーラーマルウェアVidar Stealerの最新版Vidar 2.0の登場により、同マルウェアへの感染が今後増える可能性が高いという。トレンドマイクロの研究者らが警告している。

インフォスティーラーマルウェアは、ブラウザやその他のアプリからパスワード、クレジットカード情報、暗号資産ウォレット情報などのデータを窃取するマルウェア。Vidar 2.0も、ブラウザクッキーやオートフィル、暗号資産ウォレット拡張機能、デスクトップアプリ、クラウド認証情報、Steamアカウント、Telegram、Discordのデータなど、多様なデータを標的にする。感染したマシン上にある収集可能なデータをすべて盗み取ると、同マルウェアはスクリーンショットを取得してすべてをパッケージ化し、TelegramボットやSteamプロフィール上に保管されたURLなどの配布ポイントへ送付するという。

トレンドマイクロによれば、これまでのVidarはC++で書かれていたが、Vidar 2.0ではC言語のものへと完全にリライトされ、依存関係が減少。またデータ窃取ワーカースレッドを同時に生成するマルチスレッドCPUサポートにより、データ収集が同時並行で行われて滞留時間が短縮されている。さらにデバッガー検出やタイミングチェックなど広範なアンチ分析チェックが加わったほか、ポリモーフィズムオプションにより静的検出がより困難に。加えて、Chromeブラウザのセキュリティ機能である「Application-Bound（App-Bound）」をバイパスする性能も備わっているという。

スティーラーの領域ではこれまでLummaが有力だったが、主要オペレーターらがドキシングキャンペーンの標的となった後、同マルウェアの活動は急速に停滞し始めている。Vidar 2はそのようなタイミングでリリースされており、トレンドマイクロによれば、リリース以降Vidarの活動は急激に増えているという。同社の研究者らは、Vidar 2.0の技術的性能の高さ、2018年以降の実績ある開発者の経歴、競争力のある価格設定を踏まえ、Vidarがこれまで支配的だったLummaの市場地位を受け継ぐ可能性があると指摘。2025年第4四半期にかけて、さまざまな攻撃キャンペーンにおいてVidarマルウェアの使用割合が高まるだろうと予測した。