米政府関係者に使われた強力なスパイウェア、その侵害の現実的な脅威

スパイウェアを開発しているイスラエル企業のNSO Groupは、同社のハッキングツールが世界中の抑圧的な政権と捜査当局に悪用され続けているとして、高まる法的圧力に直面して物議を醸してきた。こうしたなか、少なくとも9人の米国務省職員を含む多数のiPhoneユーザーに対して、正体不明のハッカーによってNSOのツールが使われていたことが明らかになった。アップルによると、ここ数カ月の間にデヴァイスが侵害されていたという。

このニュースを最初に報じたロイターによると、被害に遭った米政府職員は、ウガンダで仕事をしたりウガンダに関する仕事に従事したりしていたと、関係筋が明らかにしたという。ウガンダの政治家も、この攻撃の標的にされていたようだ。

アップルの「iOS」とグーグルの「Android」の両方で動作するNSOのスパイウェア「Pegasus」を利用した攻撃は、数年前から検出されてきた。Pegasusはいったんデヴァイスにインストールされると、ユーザーの位置情報を追跡したり、マイクを起動したり、データを盗んだりといったことができる。

もっともらしい否定

今回の悪用は、プライヴァシー保護と人権を訴える活動家らが長年にわたって警告してきた懸念を、まさに浮き彫りにしている。すなわち、NSOは適切な管理体制を敷いておらず、自社が販売する強力なツールを顧客がどのように使用するのか制限できていないという懸念だ。また、「スパイウェアは米国の電話番号で登録されたデヴァイスに対しては使用できない」という主張をはじめとして、NSOが懸念に対して繰り返してきた反論は言葉だけのものだったことが明らかになっている。

「ライセンスを保有するお客さまにソフトウェアが販売されたあとでは、NSOはそのお客さまが誰を標的にしているのか知るすべがありません。このため今回の事態には気づいておりませんでしたし、気づくことは不可能でした」と、NSO Groupの広報担当者はコメントしている。また「関連する顧客のシステムへのアクセスを直ちに遮断することを決定しました」としたうえで、「NSOのツールがこの事例で使用されたことを示す根拠」は手にしていないとも説明した。

このようなもっともらしい否定は、NSO Groupではいつものことだ。最高経営責任者（CEO）のシャレフ・フリオは『Forbes』の7月のインタヴューで自身の会社を自動車メーカーにたとえ、クルマを販売したあとで購入者が飲酒運転をするようなものだと語っている。

だが、政府が使用する強力なスパイウェアはクルマとは大きく異なる。NSOを批判する人々は、自社の主力商品が悪用されることが予見できるにもかかわらず、同社が十分な対策を講じたことは一度もないと指摘する。

「顧客が標的にできる対象を制限しているというNSOの主張が一度も信用できなかったように、今回の件はNSOの製品に備え付けられた安全措置が不十分だったことを示しています」と、国家安全保障局（NSA）の元ハッカーで、インシデント対応を専門としているジェイク・ウィリアムズは語る。「これは完全に予想できたことです。NSOから購入した機能を政府がもっていて、入手したい機密情報があれば、使えるツールはどんなものでも使おうとするに違いありません」

対応が遅れた米国政府

Facebookを運営するメタの傘下にあるメッセージアプリ「WhatsApp」は19年、NSO Groupを訴えている。NSOのツールを使用したとみられるハッキングでサーヴィスが悪用され、数千人もの被害者を生んだからだ。アップルも先週、独自の訴訟を起こして戦いを挑んでいる。