スパイウェアメーカーIntellexa、政府のスパイ対象に直接アクセスできていた：研究者が指摘

佐々山 Tacos

2025.12.05

制裁対象のスパイウェアメーカーIntellexa、政府のスパイ対象に関するデータに直接アクセスできていた：研究者が指摘

TechCrunch – December 4, 2025

米国による制裁の対象にもなっているスパイウェアメーカーIntellexaは、同社製スパイウェアPredatorを使用する政府顧客の偵察用システムの一部へリモートでアクセスする能力を有していたという。アムネスティ・インターナショナルが新たな証拠に基づいて報告した。

Intellexaは元イスラエル軍将校のTal Jonathan Dilian氏が設立したスパイウェア・偵察サービス企業で、政府顧客向けにスパイウェアを開発・販売していることから「傭兵スパイウェア企業」と称されることもある。人権保護活動家やジャーナリスト、市民社会の人々などが標的になってきたことから、同社のスパイウェア「Predator」はさまざまな国々における人権侵害問題と関連づけられてきた。2024年9月には、政府関係者やジャーナリスト、政策専門家など米国民が同スパイウェアの標的になったことに関連し、Dilian氏を含むIntellexaの幹部や関連団体が米国財務省の制裁対象に指定されている。

顧客の偵察用システムへTeamViewer経由でリモートアクセス？

12月4日、アムネスティはイスラエル紙Haaretz、ギリシャのニュースサイトInside Story、およびスイスのメディアInside ITなどのメディアパートナーと連携し、Intellexa社から流出した内部企業文書や販売・マーケティング資料、トレーニング動画といった資料に基づくレポートを公開。この中で、Intellexaの従業員は少なくとも一部の顧客の偵察用システムに対し、TeamViewer経由でリモートアクセスできた可能性があることが示されている。

この発見は、流出したIntellexa社内部のトレーニング動画の分析に基づくもの。アムネスティの研究者によれば、この動画にはカザフスタンに所在する「本物の標的」に対してPredatorを感染させようとする「リアルタイムの」試みと思われるものが映されていたという。この動画では、感染用URL、標的のIPアドレス、そして標的の携帯端末のソフトウェアバージョンが確認できたとされる。つまり、同スパイウェアの標的となった人物は、政府やその他のIntellexaの顧客だけでなく、Intellexa社自体にも自身の機微なデータを閲覧された恐れがあるということになる。

このようなリモートアクセスは「普通」ではない

ただ、TechCrunch紙によれば、NSO Groupやかつて存在していたHacking Teamといった政府機関にスパイウェアを販売する企業は長らく、顧客のスパイ対象となった人物のデータにも顧客のシステムにも決してアクセスしないと主張してきた。これには、「顧客が違法に自社のスパイウェアを使用したとしても、法的責任に問われないようにしたい」というスパイウェアメーカーとしての立場が関係している。また顧客となる政府機関としても、機微な調査に関する詳細を民間スパイウェア企業には知られたくないという事情がある。そしてこの要望は、当該スパイウェア企業が他国の企業である場合はなおさら強くなるであろうことが予想される。

このため、TechCrunchの取材を受けたスパイウェアメーカーMemento LabsのCEO、Paolo Lezzi氏は、Intellexaが有していた疑惑のある顧客システムへのリモートアクセスについて、「普通ではない」とコメント。同業者としての視点で、そのようなアクセスを受け入れる政府機関はいないだろうと述べた上、流出したトレーニング動画に映っていたのはデモ環境で実際の顧客のシステムというわけではないのではないかとの疑念を示したという。

しかしアムネスティはさまざまな証拠に基づき、動画内に映ったのは本物の顧客システムであったと確信しており、セキュリティおよびプライバシーに関する懸念が高まったと述べている。

新たなゼロクリック感染ベクター「Aladdin」

アムネスティはこのリモートアクセス疑惑のほか、Predatorスパイウェアの感染ベクターに関する新たな発見についても報告。「ゼロクリック」での感染を叶える「Aladdin」というメカニズムが使われていることを突き止めたと説明した。Predatorは通常、「ワンクリック（1-click）」攻撃を使用してターゲットのデバイスに感染する。これは、ターゲットとなる人物にデバイス上で悪意あるリンクを開かせる必要がある手法で、リンクが開かれればChromeやSafariのブラウザエクスプロイトがロードされ、初期アクセスの獲得およびスパイウェアペイロードのダウンロードが実現できる仕組みになっている。つまり、攻撃を成功させるためにはターゲットを欺いたり誘導したりしてリンクをクリックさせる必要がある点が制約となっていた。

この制約を乗り越えるために設計されたのが、手動でリンクをクリックさせずともターゲットの端末上で感染用リンクの開封をトリガーするための「配布ベクター」と呼ばれるもの。このベクターは「Triton」、「Thor」、「Oberon」と名付けられたものなどいくつか存在しているが、そのうちの1つがAladdinという商用モバイル広告エコシステムを悪用した手法だという。

Aladdinシステムは、ターゲットの公開IPアドレスやその他の識別子を使用し、狙った端末に対して攻撃者が作成した悪性広告を強制的に配信する。この広告は、信頼されたニュースサイトやモバイルアプリなどに表示させることができ、ターゲットの目にはその他の無害な広告と同様に映るという。しかしこの有害広告は、クリックなどせずとも単に閲覧しただけで感染をトリガーすることが可能。詳しい感染の仕組み自体は明かされていないものの、同じく分析記事を公開しているGoogleは、この広告がIntellexaのエクスプロイト配布サーバーへのリダイレクトを引き起こす旨を述べている。