スマートフォンで監視する「Hermit」　活況のスパイウェア業界

Hermitを作った企業とユーザー

　LookoutやTAGによると、Hermitを開発したのは、イタリアのスパイウェアベンダーRCS Labと通信ソリューション企業のTykelabとみられるという。

　Hermitは、カザフスタン、イタリア、シリア北部などで広がっており、「パッシブDNSレコード」（サーバーからのDNS応答記録）にシリア北東部クルド圏にある自治行政区画のロジャヴァ（Rojava）の文字があった。また、模倣しているドメインには地元のニュースなどが多いソーシャルメディア「Rojava Network」があり、活動地域を示している。

　Hermitに関しては、2021年にイタリア下院が公開した情報から、同国政府が反汚職活動で利用したといわれていた。その中にHermitのiOSバージョンについての言及があり、RCS LabとTykelabをHermitと関連付けているという。

　LookoutがWikiLeaksなどの情報を合わせて調査したところによると、RCS Labは以前、イタリアのスパイウェア開発企業HackingTeam（現Memento Labs）の再販を行っていた。両社のやりとりから、パキスタン、チリ、バングラデシュ、ベトナム、ミャンマーといった国の情報機関との関係があるとみられるという。

　そして、Lookoutは、Hermitの使われ方がイスラエルのNSO Groupが開発したモバイルスパイウェア「Pegasus」と同じような役割だろうと推測している。Pegasusは2021年に報じられたスパイウェアで、政治家、ジャーナリスト、活動家などをターゲットとしていた。アムネスティなどの調査で実態が明らかになり、物議を醸した。

　気になるのは、Hermitが、より高度化していることだとセキュリティニュースサイトのDark Readingは指摘する。

　Lookoutのセキュリティ専門家Paul Shunk氏は「モジュラー設計はビジネスモデルの一部だろう。これによって個々のスパイ機能を付加価値のあるアイテムとして販売することが可能になる」と述べている。またHermitの設計とコード品質は、同氏が見た他の例より際立って高いレベルだとする。

　またShunk氏は「カザフ語の話者をターゲットとしていること、バックエンドのC2（コントロール＆コマンド）サーバーのIP情報は、Hermitがカザフスタンからコントロールされていることを強く示唆している」と述べている。カザフスタンの政府機関が、反政府活動家の監視にHermitを利用しているとの見方が有力だ。