先日、イスラエル企業NSOグループが開発・販売するスパイウェア「Pegasus」が、人権活動家や弁護士、ジャーナリストを標的に使用されているとのアムネスティ・インターナショナル報告がありました。その続報として、政府が女性ジャーナリストの持つスマートフォンからプライベートな写真を盗み出すことに使われたことが報じられています。
問題のPegasusは、感染したデバイスがスマートフォン内に保存されているメッセージや写真をひそかに送信したり、電話の通話を本人に知られずに録音できるというもの。2020年末には37人のジャーナリストが持つiPhoneが政府等によりハッキングされた証拠が見つかったと報告されたことに続き、先月アムネスティはiOS 14.6に存在していたゼロクリック脆弱性、つまりユーザーが何もしなくてもマルウェアをがインストール可能な抜け穴が利用されていたと発表していました。
さて米NBCニュースの報道によると、アルジャジーラ(中東カタールの国営テレビ局)のレバノン人放送ジャーナリストであるGhada Oueiss氏は2020年6月、自宅で夫と一緒に夕食を食べていたところ、同僚からTwitterをチェックするようにとメッセージを受け取ったとのことです。そこでTwitterをチェックしたOueiss氏は、ジャグジーでビキニを着ているときに撮影されたプライベートな写真が「上司の家で撮影された」というウソの情報と共に、複数のアカウントにより拡散されていたことにがく然としたと述べられています。
その後は数日にわたって、Oueiss氏のジャーナリストとしての信頼性を攻撃する何千ものツイートやDMが殺到し、彼女を売春婦、あるいは醜くて年老いた女と罵っていたそうです。それらメッセージの多くは、サウジアラビアのムハンマド・ビン・サルマーン・アル・サウード皇太子(MBS)の支持者らしきアカウントから発信されており、政府関係者の認証済みアカウントも含まれていたとのことです。
これは単なるOueiss氏の憶測ではなく、彼女のスマートフォンがデジタルフォレンジックの専門家により調査され、Pegasusが写真へのアクセスに使われたとの診断結果(2020年末にMBS皇太子や写真を拡散したTwitterユーザー相手に起こされた裁判にて、提出された訴状で言及)に基づいてのことです。
Oueiss氏は「私の携帯電話がハッキングされたことはすぐにわかりました」と語り、サウジアラビア政権への批判的な報道を封じるために標的にされたとの考えを語っています。また、問題の写真はどこにも公開されたことがなく、自分のデバイス内にしかなかったことも強調しています。
流出させられた写真は、日本や欧米の感覚では特に問題ないように思われます。しかしNBCニュースは、こうした類の写真でも、中東諸国では被害者がダメージを受ける可能性があることを指摘しています。すなわちサウジアラビアのような保守的な社会では、水着写真でさえもスキャンダラスなものとみなされ、女性たちを公に辱めて評判を落とすために利用されたというわけです。
アップルは7月末にiOS 14.7.1を配信し、そのセキュリティアップデートではNSOが過去に使用した脆弱性を塞いだと推測されます(アップルは明言していませんが)。が、NSO社はこれまでもiOSで対策が施されるたびに対応してきており、現在も新たな抜け穴を探していることは確実と思われます。
アップルはアムネスティの報告に対して、Pegasusgaが特定の個人を標的にしていると認めつつ「圧倒的多数のユーザーにとっては脅威ではないことを意味します」として、ほとんどのユーザーには関係ないと示唆していました。が、WhatsAppのCEOが英The Guardianの取材で述べていたように、より本腰を入れた対策が望まれそうです。
(Source:NBC News。Via 9to5Mac。Engadget日本版より転載)
関連記事
・アップルがiOS 14.7で「悪意SSIDに繋ぐとWi-Fi機能破壊」バグを修正、公式なセキュリティ文書公開
・自分のスマホがNSOのPegasusスパイウェアにやられたか知りたい人はこのツールを使おう
・45カ国と契約を結ぶNSOのスパイウェアによるハッキングと現実世界における暴力の関連性がマッピングで明らかに
・MicrosoftやGoogle、CiscoなどがWhatsAppスパイウェア訴訟でイスラエルのNSOに抗議
・ジャーナリスト36人以上のiPhoneが「ゼロクリック」スパイウェアにハックされていたことが発覚