ポーランドのモバイルスパイウェア事件で2019年の選挙に疑念が浮上

ポーランドの与党が野党議員に対して物議を醸すモバイルスパイウェアを歴史的に使用してきたとされるスキャンダルが発覚し、同国の2019年の議会選挙の正当性に疑問が投げかけられている。

インターネット監視団体Citizen Lab(シチズンラボ)は、NSO Groupの悪名高いスパイウェアPegasus(ペガサス)が、ポーランド政府を批判する3人をスパイするために使用されていたことを突き止めた。ターゲットの1人は、ポーランド上院議員Krzysztof Brejza(クシシュトフ・ブレジャ)氏で、2019年の国会議員選挙を前に何十回も電話がハッキングされていた。

ブレジャ氏の携帯電話から盗まれたテキストメッセージは改ざんされ、選挙に向けた明らかな中傷キャンペーンの一環として国営テレビで放映された。ブレジャ氏の左派政党連合Civic Platform(シビック・プラットフォーム)はその後、2019年の同国議会選挙で僅差で敗れた。ブレジャ氏は、ハッキングを最初に報じたAP通信に対し、与党が彼の選挙運動の計画にアクセスできたはずなので、選挙は不公平だったと述べた。

ポーランド政府は以前、Pegasusの使用を否定していた。このモバイルスパイウェアは、政府顧客がターゲットの個人データ、写真、メッセージ、正確な位置情報を含むデバイスにほぼ完全にアクセスできるようにするものだ。

ポーランドの法と正義党党首で同国の副首相であるJaroslaw Kaczynski(ヤロスワフ・カジンスキ)氏は、ポーランド政府が政治的野党を監視するためにPegasusを使用したという非難をはねつけたが、先週ポーランドのメディアに対し、他の国々がモバイルスパイ技術にアクセスできるのに、ポーランド保安機関がアクセスできないとしたら「まずいだろう」と語った。

ポーランドのメディアによると、政府は2017年に、犯罪の被害者の救済や犯罪者の更生を目的とする、いわゆるジャスティス基金の資金を使ってPegasusを購入したという。

アムネスティ・インターナショナルは先週末、ブレジャ氏の携帯電話がハッキングされたことを独自に検証した

ポーランドのMateusz Morawiecki(マテウシュ・モラヴィエツキ)首相は、AP通信とCitizen Labの調査結果を「フェイクニュース」と呼び、外国の情報機関が原因である可能性を主張した。批判者たちは、他の政府がポーランドの3人のターゲットに関心を持つことはないと主張し、政府の主張を退けた。

Citizen Labが確認した他の2人のポーランドのターゲットは、政治的にセンシティヴな事件の数々で野党政治家の代理人を務める弁護士Roman Giertych(ローマン・ジアーチ)氏と、検察官Ewa Wrzosek(エワ・ウルゾセク)氏だ。Apple(アップル)は2021年12月、NSOを提訴し、スパイウェアメーカーがAppleの技術を一切使用できないようにしたのち、電話スパイ被害者への通知を開始した。

Pegasusは、バーレーン、サウジアラビア、ルワンダ、アラブ首長国連邦などの権威主義政府がジャーナリスト、政治家、人権擁護者をスパイするために使用していることが知られている。しかし、2021年の新たな報道により、ポーランドのように、ドイツハンガリーなど欧州連合のいくつかの国がPegasusの顧客であることが明らかになった。

ポーランドの野党指導者で、2021年10月からCivic Platformの新リーダーであるDonald Tusk(ドナルド・トゥスク)氏は、政府のPegasus利用について議会での調査を要求している。Renew Europe(リニュー・ヨーロッパ)の欧州議会のリベラル派議員であるGuy Verhofstadt(ガイ・ヴェルホフスタット)氏は、TechCrunchに対し、ポーランド政府がPegasusをどのように使用しているかの全体像を把握するために、この疑惑を調査する必要があると述べている。

「しかし、我々が知っていることは深く憂慮すべきことだ」と、ヴェルホフスタット氏は述べた。「これは明らかに、法の支配と自由で公正な選挙の両方に対する脅威であり、したがって、EUの規則とEUの完全性の両方に対する脅威でもあります。これが欧州の完全な調査に値しないとすれば、何が調査に値するというのでしょう」。

NSO Groupの無名の広報担当者は、顧客について肯定も否定もしなかったが「反体制派、活動家、ジャーナリストを監視するためにサイバーツールを使用することは、あらゆるテクノロジーの深刻な誤用であり、そのような重要なツールの望ましい使用法に反しています。国際社会は、このような行為に対してゼロ・トレランスのポリシーを持つべきであり、そのためにはグローバルな規制が必要です。NSOは、過去に複数の契約を解除することで、この種の悪用に対してゼロトレランスであることを証明しています」。

今回の調査結果を「衝撃的だが、驚くべきことではない」としたアムネスティ・インターナショナルは、EUに対しても、米国政府が行ったような、NSO Groupに対する標的制裁を実施するよう求めている。

「このことは、Pegasusのチェックされていない使用が、政治家のみならず、世界中の市民社会にとって脅威であることを改めて示しています。これまでのところ、違法な標的型監視を抑制するための措置は十分にとられていません」と、アムネスティ・インターナショナルの研究者兼顧問であるLikhita Banerji(リキータ・バナジー)氏は、TechCrunchの取材に対し述べた。

「我々は、人権規制のセーフガードが整備されるまで、各国政府がスパイウェアの販売、移転、使用について世界的な一時的禁止処置を実施することを緊急に必要としています」。

画像クレジット:Wojtek Radwanski / AFP / Getty Images

原文へ

(文:Carly Page、翻訳:Yuta Kaminishi)

米政府機関が禁止措置をすり抜け中国の監視技術を購入、Lorexは人権侵害に関与するメーカーDahuaの子会社だ

軍を含む少なくとも3つの米国連邦機関が、連邦政府での使用が禁止されている中国製の映像監視機器を購入した。

TechCrunchと映像監視ニュースサイトのIPVMが得た購入履歴情報によると、これらの各機関は、Dahua Technologyの完全子会社であるLorexが製造した映像監視機器の購入に数千ドル(数十万円)を費やしていた。Dahuaとは、中国政府のスパイ活動に役立つ技術であるとの懸念から、2019年国防費法により連邦政府への販売が禁止されている中国系企業の1つである。

関連記事:米、政府内でのHuaweiやZTEの機器使用を新国防法で禁止

またDahuaは、イスラム教徒のウイグル人が多く住む新疆ウイグル自治区の少数民族を弾圧する中国の行為に関連しているとして、2019年に米国政府の経済貿易制限リストに追加されている。米国政府によると、中国はウイグル人を監視するための監視装置の供給に、Dahuaが一部製造した技術を用いたとしている。バイデン政権は新疆での人権侵害を「ジェノサイド」と呼び、中国によるウイグル人の監視、弾圧、大量拘束を通した「人権侵害と虐待に関与している」と同社を非難している

関連記事:ムスリム少数民族に対する人権侵犯に加担した8つの中国企業が米商務省の禁止リストに載る

この禁止令が発効した後に、連邦機関が連邦政府の請負業者からLorexの機器を購入したという記録が残っている。

記録によると麻薬取締局(DEA)は2021年5月、ワシントンD.C.を拠点とする技術サプライヤー、I. S. Enterprisesを通じて監視システム用のLorex製ハードディスクを9台購入している。DEAの広報担当者であるKatherine Pfaff(キャサリン・パフ)氏は、この購入は米国共通役務庁(GSA)が運営する政府のショッピングポータル(通称GSAアドバンテージ)を通じて行われたと述べ、GSAに関するコメントを留保したが、Lorexの機器の使用を停止したかどうかについては言及を拒否している。

回答を求めたところ、GSAの広報担当者であるChristina Wilkes(クリスティーナ・ウィルクス)氏はメールで次のように答えている。「GSAは連邦調達規則(Federal Acquisition Regulation:FAR)に基づいて、GSAアドバンテージで販売されているベンダーや製品を審査する手段を複数保持しています。請負業者は対象となる技術を販売しているかどうかを明記することを求めるFARの条項および規定に準拠しなければなりません。遵守していないことが確認された製品は、GSAアドバンテージから削除されます」。

GSAは、禁止された製品が禁止令発効後も購入可能であった理由について明かさなかったが、市販の既製品が2019年の禁止規定に準拠していることを明確化する、新たな検証済み製品ポータルを立ち上げるなどして改善を進めているという。

2019年の禁止規定は、国防権限法(National Defense Authorization Act、NDAA)の第889条という特定の条項として署名されたもので、連邦政府機関がHuawei(ファーウェイ)、Hikvision(ハイクビジョン)、Dahuaなどの特定の中国企業およびLorexなどのその子会社が製造した電子機器を調達および購入することを違法としている。また、889条は連邦政府の請負業者が禁止された電子機器を連邦政府機関に販売することも禁止している。国防総省は、第889条に基づき、食料品や衣料品などのリスクの低い物品を購入するための一部の例外を認める免除措置を受けているが、電子機器や監視装置は認められていない。

また購買記録によると、国防総省の財務管理と軍人への支払いを担当する、米国防総省国防予算経理局(Defense Finance and Accounting Service、DFAS)が2021年7月、ニューヨークのFocus Cameraという店を通じてLorex製のビデオ監視カメラを購入していた。

DFASの広報担当者であるSteve Lawson(スティーブ・ローソン)氏は、eメールで次のように述べている。「2021年7月、DFASの一拠点において建物内の孤立したエリアを監視するためのセキュリティカメラの必要性を確認しました。2019年ジョン・マケイン国防権限法(NDAA)の889条(a)(1)(A)と、特定の通信や映像監視サービスおよび機器に関連する制限を認識していたため、GSA契約を利用して調査を行いました。また、購入した製品や部品がFY19 NDAAで制限されていないことを証明する情報を提供するようサプライヤーに要求しています。今回のご連絡を受け、慎重を期してさらなる分析が行われるまでカメラとコントローラーを無効化いたしました。ご指摘をいただきありがとうございました」。

またこの記録によると、陸軍省が2019年から2021年にかけて、I.S.Enterprises、Focus Camera、そしてカリフォルニア州グレンデールを拠点とするJLogisticsという3つのベンダーからLorexの映像監視カメラと録画機器を購入している。

陸軍はメールによる声明で、これに関する責任は機器を提供した請負業者にあるとほのめかしている。

陸軍報道官のBrandon Kelley(ブランドン・ケリー)中佐によると「2020年8月13日、国防総省は2019年国防権限法889条およびPublic Law 115-232の禁止事項を実施しました。連邦契約でプロポーザルを行う企業は、Public Law 115-232で要求されるものを含む連邦調達規則および国防省の補足条項の遵守をSystem for Award Managementのウェブサイトで表明する必要があります。米国コードのタイトル18、または虚偽請求取締法に基づく民事責任は、企業が虚偽の表示をした場合に適用されます」とのことだ。

下院軍事委員会の民主党広報担当者であるMonica Matoush(モニカ・マトウシュ)氏は声明の中で、委員会は「国防総省がこれらの報告を調査し、立証された場合には被害を軽減し、将来の問題を防ぐために適切な行動をとることを期待する」と伝えている。

また、購入記録によると、禁止令が発効した後も他の連邦政府や軍の機関がLorexの機器を購入したとされている。TechCrunchはこれらの機関に問い合わせてみたが、返答してくれた機関の広報担当者は購入記録がいつ提供されたかについてすぐには確認できず、コメントも得られなかった。ある軍事機関は、回答には「数週間」かかると述べている。

上院情報委員会の委員長であるMark Warner(マーク・ワーナー)上院議員(D-VA)は、TechCrunchに対して次のように話している。「今回のケースの詳細は聞いていませんが、政府の省庁が購入する商用機器の出所をもっと正確に理解する必要があり、こうした購入の意思決定をする人がリスクを認識しているということを確認する必要があると考えています。議会が2019年の法案にこれらの条項を盛り込んだのはこのためなのです。簡単に言えば、安全保障上のリスクがある企業や、中国のウイグル人などの少数民族に対する弾圧キャンペーンを助長するなど、人権侵害に積極的に関与していると判断された企業を、連邦政府の購買により支援することは絶対にあってはなりません。この主張が事実であれば、このようなことが二度と起こらないようにしなければなりません」。

I.S.Enterprisesの共同設立者であるEddie Migues(エディ・ミゲス)氏に今回の購入について尋ねたところ、同社はこの問題を調査中であると回答。Focus CameraとJLogisticsはコメントを求めても応じてくれなかった。

禁止された機器を政府に提供した請負業者は契約を失う可能性もあるが、この禁止令が発効する前、連邦政府の請負業者には遵守するための準備期間がほとんど与えられなかったと業界団体は主張している。

2020年、米国情報技術工業協議会は「このような広範囲にわたる要求事項の規則の策定に時間がかかったため、請負業者は法の方針を一貫して満たすことができない可能性がある」と伝えている

コメントを求めたところ、Lorexの広報担当者はTechCrunchに次のように回答してくれた。「Lorexの製品は、一般消費者および企業向けに設計されており、NDAAの対象となる米国連邦政府機関、連邦政府出資のプロジェクトおよび請負業者向けではありません。LorexはNDAAの対象となるいかなる個人や組織にも直接販売しておらず、購入者にはこれらの規制を熟知し、遵守することを推奨しています」。

関連記事:本記事はビデオ監視ニュースサイトIPVMとの提携によるものとなる。

画像クレジット:R. Tsubin / Getty Images

原文へ

(文:Zack Whittaker、翻訳:Dragonfly)

米小売大手が中国企業の防犯カメラを店舗から撤去、人権侵害を指摘され

米国の大手小売企業であるHome Depot(ホーム・デポ)とBest Buy(ベスト・バイ)は、中国の防犯ビデオ技術メーカーであるLorex(ロレックス)とEzviz(イージービズ)の製品を、人権侵害との関連性を理由に店舗から撤去した。

Home Depotは「当社は最高水準の倫理的な調達を行うことを約束しており、この件が明るみに出たとき、直ちにLorex製品の販売を中止しました」と、TechCrunchに送られてきた声明の中で述べている。同社はまた、Ezviz社製品の販売も中止したことを広報担当者が認めた。Best Buyは、LorexおよびEzvizとの「関係を打ち切る」と発表した。

Lowe’s(ロウズ)はコメントを控えていたものの、TechCrunchや防犯ビデオ関連情報サイトのIPVMからの問い合わせを受け、Lorex社製品を店舗の棚から撤去した。

LorexはDahua Technology(浙江大華技術、ダーファ・テクノロジー)の子会社であり、EzvizはHikvision(ハイクビジョン)のセキュリティ機器ブランドだ。中国に本社を置くDahuaとHikvisionは、ウイグル族のイスラム教徒が多く住む新疆ウイグル自治区で、中国が継続的に行っている少数民族の弾圧に関係した企業として、2019年に米国政府の経済ブラックリストに追加された

関連記事:ムスリム少数民族に対する人権侵犯に加担した8つの中国企業が米商務省の禁止リストに載る

米国政府によると、中国はウイグル人を監視するための監視機器の供給を、HikvisionやDahuaなどの技術系企業に大きく依存しているという。Biden(バイデン)政権は、新疆での人権侵害を「ジェノサイド(大量虐殺)」と呼び、中国のビデオ監視機器メーカーが、「ウイグル人やカザフ人などのイスラム系少数民族に対する中国の弾圧運動、独断的な集団拘束、ハイテクを駆使した監視の実行において、人権侵害や虐待に関与している」と非難した。

国連の監視団によると、中国当局は近年、100万人以上のウイグル人を収容所に拘束しているという。中国はこの疑惑を長い間否定してきた。

しかし、この制裁措置はDahuaやHikvisionの子会社であるLorexやEzvizには及ばず、また、連邦政府以外には適用されないため、現在も一般的に消費者はこれらの技術製品を自由に購入することができる。

先週までLorexは、Home Depot、Best Buy、Lowe’s、Walmart(ウォルマート)、Costo(コストコ)を5つの国内正規販売店として自社ウェブサイトに掲載していた

コメントを求められたLorexの広報担当者は次のように答えた。「2018年の買収以来、Lorexは当社の親会社について、小売店パートナーと完全に透明性を保ってきました。また、FCC(米国連邦通信委員会)の規則制定案に関する質問への対応も含め、当社は様々な規制やコンプライアンスの問題に関して、これらの企業の代表者と定期的に連絡も取っています」。

Lorexは、同社製品が撤去された後のフォローアップメールには応じていない。Lorexは自社のウェブサイトから大手小売企業5社のロゴを削除したものの、依然としてWalmart社を除く4社を同社の販売店として掲載している。

WalmartとCostcoは、LorexとEzvizの製品を引き続き在庫しているが、コメントの要請には応じていない。

世界ウイグル会議の会長であるDolkun Isa(ドルクン・エイサ)氏は、米国政府による強制労働防止や中国企業への制裁などの「意味のある行動」を歓迎しつつも、「弾圧をさらに進めることを直接支援している米国企業がまだ存在することは受け入れられない」と述べている。

Hikvisionは、TechCrunchとIPVMのコメント要求に応じていない。

編集部注:この記事は、防犯ビデオ関連情報サイト「IPVM」との協力で取材したものとなる。

関連記事:

カテゴリー:
タグ:

画像クレジット:Lorex / YouTube
原文へ
(文:Zack Whittaker、翻訳:Hirokazu Kusakabe)

米政府が中国とロシアへのハッキングツール販売を禁止

米国商務省は、人権侵害をはじめとする悪質なサイバー活動を抑制するため、権威主義政府へのハッキングツールの輸出を禁止すると発表した。

ワシントンポスト紙が最初に報じ、その後商務省が確認したこの規則は、国家安全保障上の理由から、中国やロシアなどの懸念国へのハッキングソフトウェアや機器の輸出や転売を、同省産業安全保障局(BIS)のライセンスなしに事実上禁止するものである。

これは、バイデン政権が3月に中国とロシアへの国家安全保障上の強硬姿勢を継続するために、先進半導体や情報セキュリティのための暗号化を用いたソフトウェアなど、米国の技術の輸出を制限したことを受けた動きだ。

今回の制裁は90日後に発効する予定で、イスラエルのNSOグループが開発したスパイウェア「Pegasus」などのソフトウェアが対象となる。このスパイウェアは、いくつかの権威主義的な政府が、ジャーナリスト、活動家、政治家、企業経営者など、最も声高な批判者の携帯電話をハッキングするために使用してきた

関連記事:45カ国と契約を結ぶNSOのスパイウェアによるハッキングと現実世界における暴力の関連性がマッピングで明らかに

一方、サイバー防衛を目的としたソフトウェアについては、米国のサイバーセキュリティ研究者が海外の研究者と共同研究を行ったり、ソフトウェアメーカーに欠陥を開示したりすることを妨げるものではないため、輸出許可が免除される。BISが2015年に初めてこの規則案を発表した際には、300件近くのコメントが寄せられ、正当なサイバーセキュリティの研究やインシデント対応活動に与える影響について「大きな懸念」が示された。

この規則により、米国は、軍事的安全保障・デュアルユース(軍民両用)技術に関する自主的な輸出管理方針を定めたワッセナー・アレンジメント(Wassenaar Arrangement)に加盟する欧州の42カ国および同盟国と足並みを揃えることになる。

Gina M. Raimondo(ジーナ・M・ライモンド)商務長官は次のように述べている。「米国は、多国間パートナーと協力して、サイバーセキュリティや人権を脅かす悪意のある活動に使用される可能性のある特定の技術の拡散を抑止することに尽力しています。特定のサイバーセキュリティ品目に輸出規制を課す商務省の暫定最終規則は、悪意のあるサイバーアクターから米国の国家安全保障を守ると同時に、合法的なサイバーセキュリティ活動を確保する、適切に調整されたアプローチです」。

2020年、ロシアに起因するSolarWindsハッキングの最初の被害者の1つとなった商務省は、この規則について45日間、一般からのコメントを募集する。同省はコンプライアンスの潜在的なコストと、合法的なサイバーセキュリティ活動に与えうる影響についてのコメントを求めている。規則が最終的なものとなるまでには、それからさらに45日間の修正期間が設けられている。

画像クレジット:Jack Guez / Getty Images

原文へ

(文:Carly Page、翻訳:Aya Nakazato)

アップルがiPhone、Macなど全端末でセキュリティアップデート、政府機関も利用するというNSOのゼロデイ脆弱性を修正

Apple(アップル)は、すべてのiPhone、iPad、Mac、Apple Watchに影響を及ぼす、新たに発見されたゼロデイ脆弱性のセキュリティアップデートを公開した。この脆弱性を発見したとされるCitizen Labは、ユーザーに対して直ちにデバイスをアップデートするよう呼びかけている。

テクノロジーの巨人Appleは、iPhoneおよびiPad向けのiOS 14.8、ならびにApple WatchおよびmacOSの新アップデートにより「積極的に悪用された可能性がある」とされる少なくとも1つの脆弱性が修正されるという。

Citizen Labは、ForcedEntryの脆弱性の新たな痕跡を発見したとしている。この脆弱性は、バーレーンの活動家の少なくとも1人が所有する「iPhone」をひそかにハッキングするために使用されていたゼロデイ脆弱性の利用に関する調査の一環として2021年8月に初めて明らかにされた。

関連記事:iPhoneのセキュリティ対策もすり抜けるスパイウェア「Pegasus」のNSOによる新たなゼロクリック攻撃

8月、Citizen Labは、ゼロデイ脆弱性(企業が修正プログラムを提供するまでの期間が0日であることから、このように名づけられた)は、AppleのiMessageの欠陥を利用しており、イスラエルの企業であるNSOグループが開発したスパイウェア「Pegasus」を活動家の携帯電話に送り込むために悪用されたと発表された。

Pegasusは、政府機関の顧客に対してターゲットの個人データ、写真、メッセージ、位置情報など、そのデバイスにほぼ完全にアクセスできるようにする。

この脆弱性は、当時最新のiPhoneソフトウェアであるiOS 14.4および5月にリリースされたiOS 14.6を悪用していたため、大きな問題となった。また、この脆弱性は、AppleがiOS 14に搭載した「BlastDoor」と呼ばれる、潜在的な悪意のあるコードをフィルタリングすることでサイレントアタックを防ぐはずの新しいiPhone防御機能を突破していた。Citizen Labでは、AppleのBlastDoor保護機能を回避できることから、この特別な脆弱性を「ForcedEntry」と呼んでいる。

Citizen Labによる最新の調査結果によると、サウジアラビアの活動家のiPhoneに、当時最新バージョンのiOSを実行していたForcedEntryエクスプロイトの証拠を発見した。研究者によると、このエクスプロイトは、Appleのデバイスがディスプレイに画像を表示する際の弱点を利用しているという。

Citizen Labによると、このForcedEntryエクスプロイトは、これまで最新のソフトウェアを実行していたすべてのAppleデバイスで動作するという。

Citizen Labは、米国時間9月7日に発見した内容をAppleに報告したとのこと。Appleは、この脆弱性(CVE-2021-30860)のためのアップデートを公開した。Citizen Labは、ForcedEntryの攻撃はNSO Groupが行ったものだと確信しており、これまでに公表したことのない証拠を挙げている。

Citizen Labの研究者であるJohn Scott-Railton(ジョン・スコット-レイルトン)氏は、TechCrunchに対し、iMessageのようなメッセージングアプリは、ますます国家によるハッキング活動の標的となっており、今回の発見は、メッセージングアプリのセキュリティを確保する上での課題を明確に示していると述べている。

Appleはコメントを控えている。NSOグループは、我々の具体的な質問への回答を拒否した。

関連記事:自分のスマホがNSOのPegasusスパイウェアにやられたか知りたい人はこのツールを使おう

画像クレジット:Bryce Durbin / TechCrunch

原文へ

(文:Zack Whittaker、翻訳:Katsuyuki Yasui)

自分のスマホがNSOのPegasusスパイウェアにやられたか知りたい人はこのツールを使おう

米国時間7月17日、国際的なニュース配信コンソーシアムが、メキシコやモロッコ、アラブ首長国連邦などの独裁的政府が、NSO Groupが開発したスパイウェアを使って、ジャーナリストや活動家、政治家、企業の役員など、強硬な批判勢力に対してハッキング行為を行ったと報じた。

監視対象になったと思われる5万人の電話番号を、パリの非営利ジャーナリズム団体Forbidden StoriesAmnesty International(アムネスティインターナショナル)が入手し、Washington PostThe Guardianなどと共有した。被害者の電話機数十台を分析した結果、それらがNSOのスパイウェアPegassusに侵されたことがわかった。そのスパイウェアは個人の電話機のすべてのデータにアクセスできる。報道は、NSO Groupが堅固にガードしている政府顧客についても明らかにしている。たとえばEUの一員であるHungaryは、基本的人権の一部として監視からのプライバシーの保護があるはずだが、NSOの顧客として名を連ねている。

報道は、NSOのデバイスレベルの侵入的な監視の対象になった者の人数を初めて明かしている。これまでの報道は、被害者の数を数百名または1000名以上としていた。

関連記事:45カ国と契約を結ぶNSOのスパイウェアによるハッキングと現実世界における暴力の関連性がマッピングで明らかに

NSO Groupは、これらの報道に厳しく反論している。NSOは長年、顧客のターゲットが誰であるかも知らないと述べていた。米国時間7月19日のTechCrunch宛の声明でも、同じことを繰り返している。

アムネスティの調査は、その結果をトロント大学のCitizen Labがレビューしている。その発見によると、NSOは被害者にリンクを送り、それを開けば電話機に感染する。またiPhoneのソフトウェアの脆弱性を悪用して無言で侵入する「ゼロクリック攻撃」というものもある。Citizen LabのBill Marczak(ビル・マルザック)氏によると、NSOのゼロクリックが悪さをするのは、iOSの最新バージョンであるiOS 14.6の上だという。

アムネスティの研究者たちは、詳細な調査報告とともに、電話機がPegasusuのターゲットにされたかを調べるツールキットを発表した。

そのMobile Verification Toolkit(MVT)とよばれるツールキットは、iPhoneとAndroidの両方で使えるが、動作はやや異なる。アムネスティによると、侵入の痕跡が見つかるのはiPhoneの方がAndroidより多いため、発見もiPhoneの方が容易になっている。MVTはまずユーザーにiPhone全体のバックアップ(ジェイルブレイクしている場合には完全なシステムダンプ)を取らせ、NSOがPegasusを送り込むために使っていることがあらかじめわかっている、侵犯の痕跡情報(indicators of compromise、IOCs)をフィードする。例えばテキストメッセージやメールでNSOのインフラストラクチャのドメインネームを送ることもある。iPhoneの暗号化バックアップがあるなら、全体の新しいコピーを作らなくてもMVTにそのバックアップを解読させてもよい。

MVTのツールキットの端末出力。iPhoneとAndroidのバックアップファイルをスキャンして侵入のIOCを探す(画像クレジット:TechCrunch)

ツールキットはコマンドラインなので、洗練されたUXではないし、端末の使い方の知識が多少必要だ。10分ほど使ってみたが、iPhoneのフレッシュなバックアップを作るつもりならさらに1時間はかかるだろう。そのツールキットに電話機をスキャンさせてPegasusの兆候を見つけるつもりなら、GitHubにあるアムネスティのIOCsをフィードする。IOCファイルがアップデートされたら、ダウンロードしてアップデート版を使おう。

作業を始めたら、ツールキットはあなたのiPhoneのバックアップファイルをスキャンして、侵入の証拠を探す。その処理に1〜2分かかり、その後、フォルダに吐き出す複数のファイルが、スキャンの結果だ。ツールキットが侵犯の可能性を見つけたら、出力ファイルがそういっている。私の場合は「detection」が1つあったが、それは偽陽性だったので、アムネスティの研究者たちにひと言告げてからIOCsから削除した。アップデートしたIOCsで再スキャンすると、侵入の兆候は返されなかった。

Androidの汚染を見つけるのは難しいため、MVTはもっと簡単な方法として、Androidデバイスのバックアップ中にリンクのテキストを探す。それがNSOのドメインだったら怪しい。また、デバイス上に悪質なアプリケーションがインストールされていないかも、スキャンして調べる。

このツールキットは、コマンドラインツールの常として、使い方は簡単だが、オープンソースなのでいずれ誰かがユーザーインタフェイスを作るだろう。プロジェクトの詳しいドキュメンテーションがあるので、私だけでなく多くの人が助かると思う。

チップスを安全に送りたい人はSignalやWhatsAppで+1 646-755-8849まで。ファイルやドキュメントは、SecureDropで送ることができる。詳しくはここで

関連記事
MicrosoftやGoogle、CiscoなどがWhatsAppスパイウェア訴訟でイスラエルのNSOに抗議
ジャーナリスト36人以上のiPhoneが「ゼロクリック」スパイウェアにハックされていたことが発覚

カテゴリー:セキュリティ
タグ:スパイウェアNSO Groupハッキング人権個人情報プライバシーiPhoneAndroidスマートフォン

画像クレジット:TechCrunch/PhotoMosh

原文へ

(文:Zack Whittaker、翻訳:Hiroshi Iwatani)

45カ国と契約を結ぶNSOのスパイウェアによるハッキングと現実世界における暴力の関連性がマッピングで明らかに

NSO Group(NSOグループ)が開発したスパイウェア「Pegasus(ペガサス)」によって携帯電話がハッキングされたジャーナリスト、活動家、人権擁護者などの既知のターゲットすべてを、初めて研究者がマッピングで表してみせた。

ロンドン大学ゴールドスミス校の人権侵害を調査する学術ユニット「Forensic Architecture(フォレンジック・アーキテクチャー)」は、人権団体から提出された数十の報告書を精査し、オープンソースの調査を実施。数十人の被害者本人にインタビューを行った結果、デバイスの感染状況を含む1000以上のデータを明らかにした。これらのデータは、NSOの顧客である各国政府が行ったデジタル監視と、被害者が実際に受けている脅迫、いやがらせ、暴力との関係やパターンを示している。

研究者たちは、これらのデータを独自のプラットフォームにマッピングすることで、Pegasusを使って被害者をスパイする国家が、そのネットワーク内の他の被害者をターゲットにすることもあり、さらにターゲットとされた人物だけでなく、その家族、友人、同僚も、攻撃、逮捕、偽情報キャンペーンの被害にどれだけ巻き込まれているかを示すことができた。

1000件を超えるデータは、各国政府によるPegasusの使用状況の一部に過ぎないが、このプロジェクトが目的としているのは、スパイウェアメーカーのNSOが極力表に出さないようにしている同社の世界的な活動に関するデータとツールを、研究者や調査員に提供することである。

イスラエルに拠点を置くNSOグループが開発したスパイウェアのPegasusは、その顧客である政府機関が被監視者の端末に、個人情報や位置情報を含めてほぼ自由にアクセスできるようにするものだ。NSOグループは、これまで何度も顧客名の公表を拒否してきたが、少なくとも45カ国で政府機関と契約を結んでいると報じられている。その中には、ルワンダ、イスラエル、バーレーン、サウジアラビア、メキシコ、アラブ首長国連邦など、人権侵害が指摘されている国の他、スペインなどの西欧諸国も含まれている。

今回の調査を担当したForensic Architectureの研究員であるShourideh Molavi(ショウリデ・モラビ)氏は「私たちの住むデジタル領域が、人権侵害の新たなフロンティアとなっており、そこで行われる国家による監視と脅迫が、現実空間における物理的な暴力を引き起こしていることが、調査結果から明らかになりました」と述べている。

このプラットフォームでは、政府の最も率直な批判者を標的としたキャンペーンから、どのようにして被害者がスパイウェアと物理的暴力の両方の標的となったかを、視覚的なタイムラインで示している。

モントリオールに亡命中のサウジアラビア人ビデオブロガーで活動家のOmar Abdulaziz(オマル・アブドゥルアジズ)氏は、2018年にマルウェアのPegasusによって自分のスマートフォンをハッキングされた。それはサウジの使者がアブドゥルアジズ氏に王国に戻るよう説得した直後のことだった。その数週間後、サウジアラビアに住む彼の兄弟2人が逮捕され、彼の友人たちも拘束された。

アブドゥルアジズ氏は、サウジアラビアの事実上の支配者であるMohammed bin Salman(ムハンマド・ビン・サルマン)皇太子が殺害を承認したWashington Post(ワシントン・ポスト紙)のジャーナリストでありJamal Khashoggi(ジャマル・カショギ)氏の親友であり、彼のTwitter(ツイッター)アカウントに関する情報も「国家が支援する」実行者に盗まれた。後にその犯人は、Twitterに勤務していたサウジアラビアのスパイであることが判明した。Yahoo! News(ヤフー・ニュース)が先週報じたところによると、この盗まれたデータには、アブドゥルアジズ氏の電話番号も含まれており、それを利用してサウジアラビアは彼の携帯電話に侵入し、カショギ氏とのメッセージをリアルタイムで読み取っていたという。

オマル・アブドゥルアジズ氏は、国家によるデジタル監視の被害者として知られる数十人のうちの1人だ。青色の点はデジタル的な侵入を、赤色の点は嫌がらせや暴力などの物理的な出来事を示す。(画像クレジット:Forensic Architecture)

メキシコ人ジャーナリストのCarmen Aristegui(カルメン・アリステギ)氏も、被害者として知られる1人で、2015年から2016年にかけて、メキシコである可能性が高いPegasusの顧客政府によって、携帯電話が何度もハッキングされていた。トロント大学のCitizen Lab(シチズン・ラボ)によると、彼女の息子で当時未成年だったEmilio(エミリオ)氏も、米国に住んでいる間に携帯電話が狙われていたという。アリステギ氏とその息子、そして彼女の同僚に対するデジタル侵入の時系列を見ると、彼女らがメキシコのEnrique Peña Nieto(エンリケ・ペーニャ・ニエト)大統領(当時)の汚職を暴露した後、ハッキング活動が激化したことがわかる。

「このマルウェアは、カメラやマイクなど、私たちの生活と不可分な機器を作動させることができます」と、このプロジェクトに協力したジャーナリストで映画監督の Laura Poitras(ローラ・ポイトラス)氏によるインタビューで、アリステギ氏は述べている。携帯電話を狙われた息子について、アリステギ氏は次のように語った。「ただ学校に通うだけの生活をしている子どもが狙われるということは、国家がいかに我々が対抗し得ない侵害を行うことができるかを物語っています」。なお、NSOは米国内の携帯電話を標的にしていないと繰り返し主張しているが、Pegasusと同様のPhantom(ファントム)と呼ばれる技術を、米国の子会社であるWestbridge Technologies(ウェストブリッジ・テクノロジーズ)を通じて提供している。

「国家が、あるいは誰かが、このような『デジタル暴力』のシステムを使うことで、ジャーナリズムの責務に途方も無いダメージを与えることができます」と、アリステギ氏はいう。「結局はそれがジャーナリストに大きな痛手を与え、社会が情報を維持する権利に影響を及ぼすことになるのです」。

タイムラインは、カルメン・アリステギ氏とその家族、同僚がデジタルで狙われた時(青)と、オフィスへの侵入、脅迫、デマ情報キャンペーン(赤)の発生が絡み合っていることを示している。(画像クレジット:Forensic Architecture)

このプラットフォームは、NSOグループの企業構造に関するAmnesty International(アムネスティ・インターナショナル)による最近の調査結果にも基づいている。この調査では、NSOのスパイウェアが、その顧客や活動を隠すために、複雑な企業ネットワークを利用して、国家や政府に拡散していったことを明らかにした。Forensic Architectureのプラットフォームは、2015年にNSOが設立されて以来の民間投資の痕跡を追っている。このような民間資本が、イスラエルの輸出規制によって、通常は制限されているはずの政府へのスパイウェアの販売を、NSOに「可能にさせた可能性がある」という。

NSOグループのスパイウェアであるPegasusは、イスラエルの軍産複合体による他の製品と同様、現在進行中のイスラエルによる占領下で開発された武器として考え、取り扱う必要がある。Forensic ArchitectureのディレクターであるEyal Weizman(エヤル・ワイツマン)氏は「世界中で人権侵害を可能にするために輸出されているのを見ると失望します」と語っている。

このプラットフォームが起ち上げられたのは、NSOが先週、最初のいわゆる透明性報告書を発表した直後のことだった。この報告書は、人権擁護団体や安全保障研究者から、意味のある詳細が何もないと批判されていた。アムネスティ・インターナショナルは、この報告書は「営業用パンフレットのようだ」と述べている。

NSOグループは声明の中で、実際に見ていない研究についてはコメントできないとしながらも「不正使用についての信憑性のある申し立てはすべて調査し、NSOは調査結果に基づいて適切な措置を取る」と主張している。

NSOグループは、同社の技術を「米国内でのサイバー監視に使用することはできないし、これまで米国の電話番号を持つ電話機にアクセスできる技術を与えられた顧客はいない」と主張し、政府系顧客の名前を明かすことは拒否した。

関連記事:ジャーナリスト36人以上のiPhoneが「ゼロクリック」スパイウェアにハックされていたことが発覚

カテゴリー:セキュリティ
タグ:スパイウェアNSO Groupハッキング人権暴力個人情報プライバシー

画像クレジット:Forensic Architecture / supplied

原文へ

(文:Zack Whittaker、翻訳:Hirokazu Kusakabe)