世界の報道機関からなる共同調査チームが、謎に包まれた10億ドル規模のイスラエルのハッキング企業「NSOグループ」の主力商品であるスパイウェア「ペガサス(Pegasus)」の使用に関する調査結果を発表した。
ガーディアン、ワシントン・ポストをはじめとする15の報道機関による今回の報道は、ペガサスの標的になったとみられる数万件の電話番号のリーク情報に基づくものだ。リストに挙がっている番号に紐づく端末のすべてが、このスパイウェアに感染しているとは限らないものの、世界各地のジャーナリストや人権活動家が標的となっており、一部のケースではペガサスによるハッキングが実際に成功していたことが、データに基づく報道から明らかになった。
今回のリークの内容は、サイバーセキュリティ関連の記者や専門家が何年も前から指摘してきた。すなわち、NSOグループは犯罪者やテロリストをターゲットとしてスパイウェアを設計したと主張しているが、実際の用途はもっと幅広いということだ。NSOグループは、この調査に対してデータの漏洩を否定し、調査結果の一切は誤った論拠に基づくもので、事実ではないとの声明を発表した。
MITテクノロジーレビューのパトリック・ハウエル・オニール記者は、以前からNSOグループに対して批判的に報じており、2020年8月には「(NSOは)サウジアラビアのジャーナリスト、ジャーマル・カショギ殺害事件、メキシコで政治改革を推し進める科学者や活動家や、スペインのカタルーニャ州分離独立派の政治家に対する政府の監視に関与している」と書いた。NSOはこれまでこうした指摘について否定するとともに、政府に販売した技術が悪用されたとしても企業が責任を負うことはできないと主張してきた。
我々は当時、NSOの中心的な主張は、「政府が使うテクノロジーの生みの親だが、NSO自体が誰かを攻撃しているのではなく、責任は負えない」という、兵器メーカーにありがちなものだと指摘している。
リーク情報は、ペガサスがどのように使用されているかを理解する重要な手段だ。ペガサスがデバイスに侵入すると、研究者による発見が非常に困難になるからでもある。3月には、ペガサスの研究に力を入れているサイバーセキュリティ監視機関「シチズン・ラボ(Citizen Lab)」のある研究者が、アップルの高度なセキュリティ対策機構によって、NSOがアイフォーンのセキュリティを突破するのを許しながら、調査目的のアクセスはブロックしてしまう仕組みを解説した。
シチズン・ラボのビル・マルザック上級研究員は「これは諸刃の剣なのです」と語った。「アイフォーンへの侵入を難しくすることで、多くの悪党どもを閉め出すことができます。ですが、上位1%のハッカーは侵入方法を見つけようとしており、彼らが一度内部に入り込んでしまえば、アイフォーンの頑強な要塞がハッカーを保護してしまうのです」。
NSOがこうした批判を浴びるのは、初めてのことではない。フェイスブックは現在、ペガサスがワッツアップ(WhatsApp)のインフラに不正に侵入し、1400台以上の携帯電話を感染させたとして、NSOを訴えている。フェイスブックは法廷資料の中で、社内調査の結果、100名以上の人権活動家、ジャーナリスト、著名人らがペガサスの標的となっていたことが明らかになったと述べている。
2020年8月、NSOグループの共同創業者であるシャレフ・フリオ最高経営責任者(CEO)はMITテクノロジーレビューの取材に対し、「透明性が十分でないとの批判を浴びていること、またその批判が正当であること」は承知しており、特にNSOグループが用いる手法が外部の監視機関や研究者にとってますます検出しづらくなっている中で、この産業の秘密主義的な面に関してより説明責任を持つべきだと述べた。
ワシントンポストが報じたとおり、NSOグループは守秘義務を理由に、顧客の詳細を明かしていない。2週間前、NSOグループは初めて「透明性と説明責任のレポート」を公開し、世界40カ国に60の顧客を有することが明らかになった。顧客のほとんどは、諜報機関や法執行機関である。