複数の企業がイスラエルのテック企業NSO Groupに対するWhatsAppの訴訟を支持する意見書を裁判所に提出した。それによるとNSOは、メッセージングアプリWhatsAppの未公表の脆弱性(未訳記事)を利用して少なくとも1400台のデバイスをハックし、その一部は所有者がジャーナリストや人権活動家だった。
NSOはスパイウェアPegasusを開発し、そのアクセスを各国政府に販売している。それにより顧客である国民国家はターゲットのデバイスを秘かにハックできる。Pegasusのようなスパイウェアは被害者の位置を調べ、彼らのメッセージを読み、通話を盗聴し、写真やファイルを盗み、デバイスからプライベートな情報を吸い取る。スパイウェアはターゲットに悪質なリンクを開かせてインストールさせたり、アプリやデバイスのまだ知られていない脆弱性を悪用して感染するものが多い。同社は、サウジアラビアやエチオピア、アラブ首長国連邦など、権威主義的な政権に販売し、怒りを買った。
2019年、WhatsAppはある脆弱性を見つけてパッチしたが、同社によるとその脆弱性が悪用されて(未訳記事)政府のスパイウェアが送り込まれ、一部の被害者はそのことを知らなかった。それから数カ月後にWhatsAppはNSOを訴えて(未訳記事)、攻撃の背後にいた政府顧客など、事件の詳細を知ろうとした。
NSOは原告の申し立てに何度も反論したが、2020年の初めには、裁判所を説得して訴訟を棄却させる(The Guardian記事)ことができなかった。NSOの言い分は、政府に代わってやったことだから自分は免責である、というものだ。
しかしテクノロジー企業の今回の連合はWhatsAppを支持し、裁判所がNSOに免責特権を認めないことを求めている。
Microsoft(マイクロソフト)とその子会社LinkedInとGitHub、Google(グーグル)、Cisco、VMware、そしてその他数十社のテクノロジー大手企業(Amazon、Facebook、Twitterなど)を代表するInternet Associationは、その意見書で、スパイウェアや諜報ツールの開発は、脆弱性を利用してそれらを配布するものも含めて、人びとの安全性を損ない、また犯罪者など良からぬ人びとの手に渡ることもありえると警告している。
マイクロソフトの顧客セキュリティ担当チーフであるTom Burt(トム・バート)氏はブログで、NSOは同社が作っているツールと、それらが悪用する脆弱性について説明責任があると述べている。
「民間企業が作っているサイバー監視ツールは、彼らがそれを使って法を犯した場合と、その目的を知っていてそれを他に使わせた場合の、両方に関して彼らに法的責任がある。その際、顧客が誰か、彼らが何を達成しようとしているのかは無関係だ。本日、私たちが競合他社とともに立ち上がってこの意見書を起草したことは、私たちの顧客全員を助け、グローバルなデジタルのエコシステムを今後の無差別攻撃から守るものである」とバート氏は述べている。
NSOの広報担当者からは、まだコメントがない。
関連記事:ジャーナリスト36人以上のiPhoneが「ゼロクリック」スパイウェアにハックされていたことが発覚
カテゴリー:セキュリティ
タグ:WhatsApp、スパイウェア、NSO Group
画像クレジット:Bryce Durbin / TechCrunch
[原文へ]
(翻訳:iwatani、a.k.a. hiwa)