数十の監視会社が、世界中の政府がジャーナリスト、人権活動家、反体制派、政敵の携帯電話を監視するために使用しているスパイウェア技術を提供しています。
Google の脅威分析グループは、人権侵害に関する記録が不十分な政府へのセキュリティエクスプロイトや監視機能の販売に関与している最大 40 社を特定し、積極的に追跡しています。
この取引は、イスラエルのNSOグループ、イタリアのCy4Gate、ギリシャのIntellexaなどの有名なスパイウェア企業にとどまらず、監視機能を提供する中小企業の拡張サプライチェーンも含まれています。
Googleによるこの報告書の公表は、ロンドンのランカスターハウスで開催された国際会議で合意された、商用スパイウェアの使用に対する保護措置を導入することを目的とした、ポール・モール・プロセスとして知られるフランスと英国の共同イニシアチブと同時期に行われた。
Google によると、Google の脅威分析グループ (TAG) によって検出された最も高度なハッキングおよび監視ツールの大部分は、政府諜報機関や法執行機関ではなく、商業監視ベンダー (CSV) として知られる民間企業が担当しています。
Googleの研究者らによって昨年特定された25件のゼロデイ脆弱性(スパイウェアが携帯電話やラップトップ上の個人データにアクセスできる可能性がある非公開のセキュリティ上の弱点)のうち、20件が監視サプライヤーによって悪用されていたことが判明した。
Googleは現在、政府への商用監視サービスの提供に関与している40社を追跡しているが、この取引に関与しているすべての組織を特定したり数えたりすることは不可能であることを認めている。
民主主義と選挙への恐ろしい影響
政府が既製の電子スパイ サービスを購入できるようになったことで、監視のリスクが政府から CSV 自体に移され、リスクの高い個人に対してスパイウェアが導入される可能性が高まりました。
この報告書は、政府支援のスパイウェアの標的となった運動家や活動家の個人的な話を伝えており、スパイウェアの取引が言論の自由に萎縮的な影響を及ぼし、自由で公正な選挙に脅威を与えていることを明らかにしている。
例えば昨年、TAGは、ギリシャに本拠を置く商業監視サプライヤーの連合体であるIntellexaが提供する監視ツールが、インドネシアとマダガスカルの標的を罠にかけるために選挙や政治的候補者を悪用していたことが判明した。 同社のスパイウェア「プレデター」はエジプトでも野党政治家を標的にするために使用された。
スパイウェアに対する政府の要求により、商用監視ベンダーのサプライチェーンを構成する企業や個人に有利な契約が結ばれていることが、Googleが引用した以前の漏洩文書で明らかになった。
たとえば、サイバー犯罪フォーラムで公開された文書では、Intellexa がホスト国で 10 台の Android または IoS 携帯電話を同時に感染させるための「Nova」インプラントを政府顧客に 800 万ユーロで提供したことが明らかになりました。 さらに 120 万ユーロを支払えば、クライアントはホスト国以外のさらに 5 か国の携帯電話に感染させることを選択できます。
ほとんどの顧客は、電話を使用したままにすることでスパイウェアが検出されるリスクを回避するために、定期的に対象の電話をスパイウェアに再感染させるために料金を払っています。 しかし、Intellexa は、さらに多額の支払いのために、電話がシャットダウンされた後も電話に残る持続的感染をインストールするオプションも提供しました。
他の CSV はインターネット サービス プロバイダーと協力して、ユーザーを説得して偽のアプリをインストールさせ、顧客のデータにアクセスさせました。 2021年にTAGが特定したキャンペーンの1つでは、イタリアとカザフスタンの被害者に、偽のVodafoneアプリのダウンロードを促すSMSメッセージが送信され、攻撃者が携帯電話のコンテンツにアクセスできるようになったことが判明した。
猫とネズミのゲーム
Google やその他のセキュリティ研究者は、スパイウェア プロバイダーが使用するセキュリティの脆弱性を発見、公開し、パッチを適用することで、商用監視ベンダーのビジネス モデルを破壊してきました。
たとえば、2023 年 4 月、Google は Intellexa がスパイウェアのエクスプロイトで使用されたゼロデイ脆弱性を修正するパッチをリリースした後、40 日間同社の業務を中断しました。 Intellexa は代替のゼロデイ エクスプロイトを開発しましたが、Google が脆弱性を修正するまでわずか 1 週間存続しました。
Appleは、攻撃者がテキストメッセージサービスiMessageに対してゼロクリックエクスプロイトを開発することをより困難にするために、iOS 14オペレーティングシステムアップデートで「BlastDoor」として知られるパッチをリリースした。 イスラエルのスパイウェア グループ NSO は、ペイロードをグラフィック ファイルに見せかけた PDF ファイルとして配信することで、保護を回避する方法を見つけました。 Apple はその後のアップデートで問題に対処しました。
CSV は、直接法的措置を講じた政府やテクノロジー企業による活動抑制の努力にもかかわらず、ビジネスを続けてきました。 例えばNSOグループは、米国政府からの制裁やメタ社やアップル社からの訴訟にもかかわらず事業を続けている。
Googleは、商用監視技術の拡散を抑制するにはさらなる措置が必要であると主張し、米国政府に対し、商用監視ベンダーが事業を展開している国およびそのサービスを利用している政府との外交努力を主導するよう求めている。
27 か国がポール モール プロセスに戻る
Google は、Meta、Microsoft、BAE Systems Digital Intelligence とともに、商用監視サービスの使用に関する安全対策とガイドラインを開発する英国とフランスの取り組みである Pall Mall Process を支援する 14 社の異質なグループの 1 つとして参加しました。
2023年2月6日にランカスターハウスで27カ国が参加した2日間の会議で合意されたポール・モール・プロセスは、監視に関与する政府や民間組織がその活動が人権法に適合しない場合には責任を負うことを求めている。
この文書は、「意図しない、違法または無責任な結果」を軽減するために、監視機能を「正確に」使用する必要があると述べている。
政府および業界のサプライヤーは、監視テクノロジーが合法的かつ責任を持って使用されていることを確認するために、デューデリジェンス評価を実施する必要があります。 ポール・モールの文書によれば、その使用は合法的かつ必要かつ適切なものでなければなりません。
ユーザーとサプライヤーが商用監視とスパイウェアの提供に関わるサプライチェーンを理解できるように、監視機能の提供は透明性を持って行われるべきだと主張している。
デジタル著作権団体は除外されます
スペイン、メキシコ、セルビア、エジプト、ヨルダンなど、商用スパイウェアを導入したとされる多くの国が支持者の参加を特に欠席していた。 NSOや他のスパイウェア開発者の本拠地であるイスラエルも会議に出席しなかった。
スパイウェアのキャンペーンや研究を行っているアムネスティ・インターナショナルやビッグ・ブラザー・ウォッチなどのデジタル権利団体も、参加者のリストには含まれていなかった。
客員教授でプライバシー専門家のイアン・ブラウン氏は、 Xにコメントしました「このプロセスは、10年以上にわたってこの問題に緊密に取り組んできたデジタル権利団体といった、膨大な数の利害関係者を実際に逃していることになります。」
フランスは2024年にフォローアップ会議を開催する予定だ。
//platform.twitter.com/widgets.js