欧州データ保護監察機関(EDPS)は、物議を醸しているスパイウェアツール「Pegasus(ペガサス)」について「前代未聞のレベルの攻撃」につながる恐れがあると警告して欧州全域での禁止を求めた。
この悪名高いスパイウェアを開発したイスラエルのNSO Group(NSOグループ)は、犯罪やテロと戦う目的で政府にのみPegasusを販売すると主張している。しかし、複数の報道により、このスパイウェアがフランス、スペイン、ハンガリーなどいくつかのEU加盟国のジャーナリスト、活動家、政治家を標的として使用されていたことが明らかになった。
Citizen Labの研究者は2022年1月、Pegasusがポーランド政府を批判する人物3人のスパイに使用されていたことを発見し、同国の2019年の議会選挙の正当性に疑問を呈した。
関連記事:ポーランドのモバイルスパイウェア事件で2019年の選挙に疑念が浮上
これらの事例を踏まえ、欧州委員会にガイダンスと勧告を出す役割を担うEDPSは「Pegasusの機能を持つスパイウェアのEU内での開発・使用の禁止」を求めた。EDPSは、ゼロクリック攻撃によってデバイスに密かにインストールされ、個人データ、写真、メッセージ、正確な位置情報など、標的とするデバイスへのほぼ完全なアクセスを入手するといった、このスパイウェアの「強力な」機能を挙げている。
関連記事:自分のスマホがNSOのPegasusスパイウェアにやられたか知りたい人はこのツールを使おう
ブリュッセルに本部を置くEDPSは、Pegasusのようなスパイウェアの禁止は「基本的な自由だけでなく、民主主義と法の支配」を守るために必要だと指摘する。
EDPSは報告書の中で、多くの加盟国がスパイウェアの購入を認めたと述べている。しかし「多くの加盟国が、少なくともNSO Groupと製品のライセンス交渉を開始したようだ」として、本当の顧客リストは「もっと多いかもしれない」とも付け加えている。
EDPSは、たとえばテロのような差し迫った深刻な脅威を防ぐためなど、例外的な状況でスパイウェアを導入する必要性を否定できないと付け加えた。また、政府がPegasusを使用する場合、あらゆる形態の監視が「有意義かつ効果的」であることを確認し、EUのプライバシー規則を厳格に適用するなど、8つのステップを踏むべきだと述べている。
名前を明かさないNSOの広報担当者は声明の中で、ジャーナリストや人権活動家を含む、明らかになっているPegasus感染の証拠を発見・発表した学者や研究者を非難した。
EDPSの報告書が発表される数カ月前には、米商務省がNSOを貿易取引制限リストに追加し、明確な許可を得ない限り米企業がNSOと取引することを禁止した。
関連記事:米国がスパイウェア「Pegasus」問題でセキュリティ企業NSOグループとの取引を禁止
画像クレジット:Amir Levy / Getty Images
[原文へ]
(文:Carly Page、翻訳:Nariko Mizoguchi)