これは、セルビアにおける監視と市民社会の抑圧に関するアムネスティ・インターナショナルの報告書のエグゼクティブ・サマリーです。PDF形式の全文レポートはこちらをクリックしてください。エグゼクティブ・サマリーは、セルビア語、フランス語、スペイン語で読むことができます。 2024年2月、セルビアのディミトロフグラード出身で地元の関心の高いニュースを報道するフリージャーナリストのスラヴィシャ・ミラノフ氏が、一見するといつも通りの交通違反で警察署に連行された。釈放された後、スラヴィシャ氏は、警官の要請で警察署の受付に預けた携帯電話がおかしな動きをしていることに気付いた。データとWi-Fiの設定がオフになっていたのだ。これはハッキングの兆候かもしれないと気付き、セルビアのジャーナリストが直面している監視の脅威を念頭に、スラヴィシャ氏はアムネスティ・インターナショナルのセキュリティラボに連絡して携帯電話の分析を依頼した。アムネスティの分析により、2つの驚くべき発見があった。まず、法医学的痕跡から、彼のデバイスのロック解除にセレブライトの製品が使用されていたことが明らかになった。デバイス上のすべてのデータを抽出できる法医学ツールを世界中の警察が使用しているセレブライトは、自社製品の悪用を防ぐための厳格なポリシーがあると主張している。しかし、この発見は、ジャーナリストの携帯電話が正当な手続きなしに標的にされたという明確な証拠を提供している。スラヴィシャ氏はAndroidデバイスのパスコードを求められたことはなく、提供もしていない。当局はスラヴィシャ氏に、彼のデバイスを捜索したい旨を明かさず、そのような捜索の法的根拠も明らかにしていない。スラヴィシャ氏は依然として、自分の携帯電話からどのようなデータが盗まれたのか知らない。分析の2つ目の発見はさらに驚くべきものだった。アムネスティ・インターナショナルは、これまで知られていなかったスパイウェアの痕跡を発見し、「NoviSpy」と名付けた。NoviSpyは、感染後に標的の携帯電話から機密の個人データを盗み取り、携帯電話のマイクやカメラを遠隔操作でオンにする機能を提供する。法医学的証拠によると、このスパイウェアはセルビア警察がスラヴィシャ氏のデバイスを所持していた間にインストールされ、感染はデバイスのロック解除にCellebriteを使用することに依存していた。 2種類の非常に侵入的な技術を組み合わせて独立系ジャーナリストのデバイスを標的とし、彼のデジタルライフのほぼすべてがセルビア当局に公開された。この話はスラヴィシャで終わらない。アムネスティ・インターナショナルによるさらなる調査により、セルビアにおけるデジタル監視の広範さが明らかになった。これには少なくとも3種類のスパイウェアの配備や、セレブライトの非常に洗練されたデジタルフォレンジック技術の常習的な悪用などが含まれる。この報告書は、セルビア当局が監視技術とデジタル弾圧戦術を、市民社会に対するより広範な国家統制と弾圧の手段としてどのように展開したかについてのケーススタディである。セルビアは、そのようなツールがデジタル取り締まりの中核となる要因となり得るシステムの典型的な例であり、他の国や状況でも同様のことが起こりそうであり、すでに起こっている可能性もある。この報告書は、国家による弾圧が激化し、国内で表現の自由や開かれた議論に対する環境がますます敵対的になっている時期に発表された。セルビアでは2021年以降、反政府デモの大きな波が何度か起こっており、そのたびに当局の対応はますます厳しくなっている。批判的な非政府組織(NGO)、メディア、ジャーナリストに対する継続的で悪質な中傷キャンペーンから、平和的に組織化し、政治的反対活動を行う市民に対する執拗な司法的嫌がらせまで、さまざまな対応が行われている。本報告書でアムネスティ・インターナショナルは、セルビアの市民社会代表者への広範なインタビューと高度な技術を駆使したデジタルフォレンジック調査を組み合わせて、セルビア当局の具体的な監視慣行を明らかにしている。これらの戦術を明らかにすることで、報告書は、違法な監視に対する説明責任を確保するための市民社会の取り組みに力を与えるとともに、何層もの秘密を剥ぎ取り、情報の非対称性を減らすことを目指している。デジタル監視の不透明性、および全能性と免責の認識は、抑圧的な国家機構がこれらの慣行に従事するよう駆り立て、大胆にさせ、社会全体の健全性に壊滅的な影響を及ぼす可能性がある。報告書の調査結果では、NSOグループのPegasusスパイウェアを含む侵入型スパイウェアがセルビアで広範かつ日常的に使用されていること、また、この報告書で初めて明らかにされた国産のAndroidスパイウェアシステムNoviSpyが使用されていることが明らかになった。セルビアではBIA(Bezbedonosno-informativna Agencija)として知られるセルビア安全保障情報局とセルビア警察は、独立系シンクタンク活動家、平和的抗議活動家、独立系ジャーナリストをターゲットにするため、NoviSpyスパイウェアをCellebriteのモバイルフォレンジックツールと併用してきた。これらのツールを組み合わせることで、スパイウェアの場合のように秘密裏に、またCellebriteの携帯電話抽出技術を違法かつ不当に使用することで公然とデータを収集する膨大な能力が国家に提供される。セルビア当局は、すでにその活動に対して不当な犯罪者として扱われることが多すぎる平和的抗議活動家に対して、これらのツールを組織的に展開してきた。市民社会に対するこの違法なデジタル監視とデータ収集は、人々のプライバシーと個人データ保護の権利を侵害し、表現の自由、結社、平和的集会の権利を含むその他の権利と自由に深刻な影響を及ぼします。この報告書の調査結果は、スパイウェアやモバイルデータ抽出製品、またはその他の形式のデジタル監視の直接の標的となった13人と、セルビア全土の市民社会の代表者28人への詳細なインタビューに基づいています。彼らは、彼らが活動するますます困難になる環境について貴重な洞察を提供しました。彼らの証言は、アムネスティ・インターナショナルのセキュリティラボが行った24人の活動家とジャーナリストのモバイルデバイスの詳細なフォレンジック分析によって裏付けられています。セキュリティラボは、オープンソースのモバイル検証ツールキット(MVT)とAndroidQFを含むアムネスティ・インターナショナルが開発したデジタルフォレンジックツールを使用して、この報告書のフォレンジック証拠を収集および分析しました。セルビアの市民社会が直面するスパイウェアの脅威 ---------------------------------------------- この報告書は、過去 10 年間にセルビア当局が Finfisher、NSO Group、Intellexa のシステムを含む、侵入性の高いスパイウェアを使用または調達した経緯を詳述しています。重要な点として、この調査では、少なくとも 3 人の活動家と 1 人の独立ジャーナリストが、セルビア警察または BIA との事情聴取に参加した際に、NoviSpy スパイウェアをデバイスに密かにインストールしていたことが示されています。感染は、携帯電話が一時的に所有者から取り上げられ、警察署のロッカーに預けられていたときに発生しました。事情聴取中に人々のデバイスにスパイウェアを密かにインストールするという、この非常に欺瞞的な戦術は、広く使用されていたようです。技術的な証拠から、過去数年間に数十、あるいは数百のデバイスが NoviSpy スパイウェアの標的になったことが示唆されています。標的の全範囲は、市民社会を違法に標的にするだけにとどまらない可能性があります。 2024年10月、ベオグラードを拠点とするNGO「クロコディル」の活動家がBIAの事務所に招かれ、同組織への攻撃に関わる事件に関する情報を提供した。彼らが会議に出席している間、彼らの携帯電話は面談室の外に放置されていた。その後、アムネスティ・インターナショナル・セキュリティ・ラボが行ったフォレンジック分析により、その際にNoviSpy Androidスパイウェアがインストールされた証拠が見つかった。Pegasusなどの商用スパイウェアほど技術的には進歩していないものの、NoviSpy Androidスパイウェアは、標的のデバイスにインストールされると、セルビア当局に広範な監視機能を提供する。アムネスティ・インターナショナルは、スラヴィシャとクロコディルの活動家に加えて、セルビアの市民社会活動家が関与する少なくとも2件の事件でNoviSpyスパイウェアのインストールまたはインストール未遂の証拠を発見した。 NoviSpy スパイウェアは BIA に接続します ------------------------------------ 感染したデバイスから回収された複数の NoviSpy スパイウェア アプリ サンプルを分析した結果、すべてのサンプルがコマンドの取得と監視データの取得の両方でセルビアでホストされているサーバーと通信していることがわかりました。特に、これらのスパイウェア サンプルの 1 つは、セルビアの BIA に直接関連付けられている IP アドレス範囲に直接接続するように設定されていました。この調査では、スパイウェア サンプルに埋め込まれた設定データが特定の BIA 職員に結びついていることもわかりました。この職員は、現在は解散したスパイウェア ベンダーの Hacking Team から Android スパイウェアを調達するセルビアの取り組みに以前関与していました。これらの重大な運用上のセキュリティ ミス、および BIA 職員へのインタビュー中に複数のケースでスパイウェアがインストールされたという事実から、アムネスティはこれらのスパイウェア キャンペーンが BIA とセルビア当局によるものであると高い確信を持って判断できます。これらの調査結果に対して、ペガサスを開発したNSOグループは、セルビアが顧客であったかどうかは確認できなかったが、同グループは「人権を尊重する責任を真剣に受け止めており、人権への悪影響を引き起こしたり、助長したり、直接的に結び付けられたりすることを避けるよう強く努めており、NSOグループ製品の不正使用に関するすべての信頼できる申し立てを徹底的に検討している」と述べた。 Cellebriteデジタルフォレンジックツールの不正使用 ------------------------------------------- この報告書はまた、抗議活動の主催者やジャーナリストの携帯電話から個人データをダウンロードするためにCellebrite抽出技術が広範かつ違法に使用されていることも明らかにしている。このようなツールを使用して取得されたデータにより、当局は抗議活動のソーシャルネットワークをマッピングし、SignalやTelegramなどのアプリから暗号化された会話を収集し、クラウドに保存されたデータをマイニングすることができる。 Cellebrite UFEDや同様のモバイルフォレンジックツールを使用して、事実上個人のデジタルライフ全体をダウンロードする機能は、そのようなツールが厳格な管理と監視の対象とならない場合、多大な人権リスクをもたらす。セルビアでは、こうしたツールの使用に関する法的規制が不十分であり、セルビアによる Cellebrite フォレンジック製品の使用は人権に対する重大なリスクを生じさせている。アムネスティ・インターナショナルが記録した少なくとも 2 件のケースでは、Cellebrite UFED 製品と関連するエクスプロイトが電話のセキュリティ機能を密かに回避するために使用され、セルビア当局はデバイスを NoviSpy スパイウェアに感染させることができた。警察や BIA への聞き込み調査中にも発生したこれらの密かな感染は、Cellebrite UFED などの高度な技術によってデバイスの暗号化を回避できる機能があったからこそ可能になった。活動家は警察の聞き込み調査中に発生するスパイウェア感染について長い間懸念を表明してきたが、アムネスティ・インターナショナルは、この報告書が Cellebrite モバイル フォレンジック技術の使用によって可能になったスパイウェア感染について法医学的に記録された初の事例であると考えている。この調査では、Cellebrite UFED で使用されたゼロデイ Android 権限昇格エクスプロイトも発見されたが、この調査の過程で修正され、数百万台の Android デバイスを保護するのに役立っている。アムネスティ・インターナショナルは、グーグルのセキュリティ研究者と協力し、セルビア当局に拘束された抗議活動主催者の携帯電話で見つかったフォレンジックログを慎重に分析して、このエクスプロイトを特定した。 セルビアにおける市民空間の取り締まり ---------------------------------- セルビアでは、国家による弾圧が強まり、表現の自由をめぐる環境が悪化する中、デジタル監視が行われている。2021年以降、同国では数多くの反政府抗議活動が発生しており、そのたびに当局の取り締まりが厳しくなっている。2024年7月と8月にリチウム採掘とセルビアと欧州連合(EU)の原材料へのアクセスに関する合意に反対する全国規模の大規模抗議活動が行われた後、政府による市民社会への攻撃は劇的にエスカレートした。8月には、広く視聴されている政府支持メディアのTVインフォーマーが、約40の「外国資金による」NGOが外国の援助国の要請で「セルビアに対して特別な戦争を仕掛けている」と示唆する詳細なレポートを特集し、彼らを「外国人傭兵」と表現した。これらの組織に対する中傷的な発言は、大統領、国会議員、国立銀行総裁などの高官によってさらに煽られた。同時に、リチウム反対デモに参加したり、それについて発言したりした活動家は逮捕され、根拠のない、しかし極めて重大な刑事告発に直面した。その中には「憲法秩序の暴力的転覆を扇動した」という、最高で懲役8年の刑罰を伴う犯罪行為も含まれていた。報告書のためにインタビューを受けた活動家や弁護士は、警察が活動家のソーシャルメディアへの投稿、スピーチ、あるいはデモへの参加を容疑の根拠として頻繁に引用していたことを詳しく語った。シビック・イニシアチブズによると、8月のデモ中に少なくとも33人が逮捕または情報収集のために拘留され、長時間の尋問、アパートの捜索、電話やコンピューターの押収と捜索を受けた。報告書の発表時点では、正式に告発された人は一人もいない。アムネスティは、2024年7月から11月の間に拘留または尋問され、電話とコンピューターが警察に一時的に押収され、検察が正式に起訴するかどうかを決定するためにデジタルデータの抽出を含む徹底的な捜索を受けた9人の活動家と話した。しかし、セルビアの法律では合法と思われるこれらの侵入的な捜査措置は、警察と治安機関が刑事告発を追求するのではなく、活動家のソーシャルネットワークと将来の計画についてさらに知るための口実であると活動家は疑っていた。 セルビアのデジタル監視に関する不十分な法的および監督枠組み ------------------------------------------------------------------------ セルビアの法律は、秘密通信監視などの例外的な措置の使用を規定し、そのような措置が合法的に使用できる特定の状況を規定している。しかし、大量の個人データを収集するスパイウェアやその他の高度なデジタルフォレンジックツールなどの高度なテクノロジーの展開は、法律で完全に認識または十分に規制されておらず、政治目的を含むそのような技術の潜在的な悪用の余地が大きすぎる。複数の異なる法律にまたがる特別措置の適用を規制する一般的な規定は十分に明確ではなく、盗聴などの従来の秘密通信監視手段よりもはるかに侵入的で標的を絞らないデジタル監視技術に関しては、悪用に対する意味のある保護策も提供していません。手段、厳格な期間、監視対象を指定した司法判断などの司法による事前監視のメカニズムでさえ、スパイウェアなどの高度なデジタル監視ツールに対する効果的な保護を提供することはできません。スパイウェアは、ユーザーのデバイス上のデータ、メッセージ、画像、ファイル、メタデータに完全かつ無制限にアクセスできます。さらに、セルビアにおける政府の裁判所や検察への過度の政治的影響と国家乗っ取りの程度に関する懸念が頻繁に指摘されている状況では、特別措置の使用に対する管理と監視の手段は、文書上では十分に見えるかもしれませんが、実際には無意味または無効になっています。萎縮効果 --------------- デジタル監視は人々のプライバシーの権利に壊滅的な影響を及ぼすだけでなく、表現の自由、結社、平和的な集会の自由の権利にも深刻な影響を及ぼします。セルビアの活動家たちは、自分たちが標的にされたことを知ったとき、侵害された、無防備で孤独だと感じ、行動を考え直したり変えたりせざるを得なくなったとアムネスティに語った。物議を醸す問題について発言することをためらうようになった活動家もいれば、目立たないようにしたり、活動から完全に手を引いたりする活動家もいた。自分が標的にされたことを知った後、スラヴィシャは情報源の一部が危険にさらされたかもしれないと非常に心配し、記事の調査方法や情報源との関わり方を変えなければならなかった。「電話やメールはもう使えないので、直接会うなど、他の方法で人と話さなければなりません。公共の場や大勢のグループにいるときだけ話すようにしていますが、これは明らかに理想的ではありません。」 「ゴラン」はペガサスの標的にされ、アムネスティのインタビューを受けた他の活動家の一人である。彼にとって、この攻撃は将来の仕事について大いに反省するきっかけとなった。 「この事件で、私は組織への関与に疑問を抱くようになりました。仕事を続けるべきかどうか、そしてそれが組織にどのような影響を与えるかを自問し、辞任も考えました。このような攻撃は、個人の誠実さや仕事に対する姿勢を深く傷つけ、このような状況にもかかわらず、自分がやっていることを続ける覚悟があるかどうか疑問に思わせます。疑問は山ほどありました。」ゴランは組織に残りましたが、私生活と組織の両方で数多くのセキュリティ対策を導入しなければなりませんでした。「政府が私にしたのと同じことをできるなら、次は別の人を狙うかもしれません。私は、すべての市民社会組織の活動が当局の監視下にあり、警戒を怠ってはならないことに気づきました。」すでに多くのプレッシャーに直面している組織にとって、デジタル セキュリティの問題に対処しなければならないことは、コア業務の妨げとなる、とクロコディルの活動家はアムネスティに語った。「同時にこれほど多くの異なる攻撃に対処しなければならないため、私たちは非常に忙しく、根本的に弱体化し、まったく活動できなくなるでしょう...これがおそらく狙いでしょう。」 セルビア政府は、報告書の調査結果についてコメントしなかったが、報告書の詳細は公表前に政府に伝えられた。 企業およびその他の当事者の人権責任 ------------------------------------------------------------ 国家には人権法を遵守する第一義的な義務があるが、企業およびその他の当事者には、世界中のどこで事業を展開していても、またすべての事業活動において人権を尊重する責任がある。この責任を果たす上で重要な部分は、企業が寄与する可能性のある人権への潜在的なリスクを特定、防止、および軽減するための人権デュー デリジェンスの適切な実施である。アムネスティは、セルビアで多くの企業が人権責任を果たせていないことを発見した。さらに、セルブライトUFED技術を寄贈したノルウェー外務省と、ノルウェー政府からセルビア内務省への補助金の調達を管理した国連プロジェクトサービス機関(UNOPS)は、この技術が人権に及ぼす潜在的なリスクを評価・緩和し、乱用に対する保護策を講じるための適切なデューデリジェンスプロセスを実施しなかった。セルビアにおけるデジタル監視の規制環境の弱さ、司法の独立性に関する懸念、市民社会と独立ジャーナリストへの脅威に関する報告が絶えないことを考慮すると、ノルウェー政府とUNOPSには、非常に侵害的な技術を調達し、セルビアの機関に引き渡す際に監督とデューデリジェンスを実施する責任があった。これを怠ったことで、両機関は違法なデジタル監視を通じてセルビアの人々のプライバシー、表現の自由、結社および平和的集会の自由の権利を侵害することを許し、助長した。調査結果の詳細に対する回答として、ノルウェー外務省は「ノルウェーが資金提供したプロジェクトを通じて購入されたデジタルフォレンジックツールが、セルビアの市民社会の主要な標的メンバーによって悪用された可能性があることは憂慮すべきことだ」と述べ、「これが事実であれば、ノルウェーの開発援助の基本原則と、当時のセルビア当局への支援の合意目的に明らかに違反する」と付け加えた。同省は、すべてのプロジェクト活動を担当していた UNOPS が、この悪用疑惑について徹底的な調査を行う予定であると付け加えた。同様に重要な点として、セレブライトには、自社製品が人権への悪影響を引き起こしたり、一因となったりしないように、人権デューデリジェンスを実施する責任があった。セレブライトは、自社のウェブサイトで、セレブライトの技術が「国際法に従わない方法、セレブライトの利用規約に準拠しない方法、またはセレブライトの企業価値に沿わない方法で使用される」場合、同社は「悪質な行為者がソリューションを使用またはアクセスすることを禁止するために必要なあらゆる措置を講じる」と述べている。しかし、現在までに入手可能なすべての情報は、セレブライトがセルビアの人権リスクに対処するためにその影響力を利用するための十分かつ効果的な措置を講じていないことを示している。アムネスティ・インターナショナルのセルビアでの調査が示すように、セレブライトの製品の使用はセルビアの活動家やジャーナリストの人権に悪影響を及ぼしている。少なくとも、セレブライトはこれらの人権侵害に直接関係している。セレブライトは、人権擁護者への潜在的および実際の危害を軽減および防止するという国連ビジネスと人権に関する指導原則に基づく企業責任を果たしておらず、したがって、より効果的な人権デューデリジェンスのポリシーと手順が必要である。企業が実際の影響に貢献した場合、企業は影響を受けた個人に救済策も提供する必要がある。調査プロセス中にセレブライトに送られたアムネスティ・インターナショナルの質問に対して、完全なレポートでさらに説明されているように、セレブライトは、監視会社ではなく、サイバー監視技術やスパイウェアを提供していないという短い回答を送った。報告書は、同社の製品は「法執行機関に人命保護と救命、司法の迅速化、データプライバシー保護に必要な技術を提供するデジタル調査プラットフォーム」であり、同社の製品は「合法的な使用のみにライセンス供与されており、犯罪発生後の法執行機関による合法的に認可された調査を支援するには令状または同意が必要である」と指摘した。アムネスティ・インターナショナルは、この報告書の調査結果をセレブライトに報告した。これに対し、セレブライトは「当社のデジタル調査ソフトウェアソリューションはマルウェアをインストールせず、スパイウェアやその他の攻撃的なサイバー活動と一致するリアルタイム監視も行いません。アムネスティ・インターナショナルが当社の技術の不正使用疑惑を指摘してくれたことに感謝します。エンドユーザー契約に明記されている明示的および暗黙的な条件に反する方法で当社の技術を顧客が不正使用する可能性があるというすべての疑惑を当社は真剣に受け止めています。当社はこの報告書で主張されていることを調査中です。それが立証された場合、セレブライトと関連機関との関係の解消を含む適切な制裁を課す用意があります」と述べた。同社の人権責任に関する完全な分析は、報告書全文に掲載されており、同社の対応は報告書の付録に掲載されています。 結論と推奨事項 -------------------------------- この報告書の調査結果は、抑圧的な国家機構が目的を達成するために異なる監視手法を組み合わせる方法を象徴しています。また、この報告書では、犯罪で起訴されていない平和的な抗議者からデータを収集するために侵入的なデジタルフォレンジックツールを広く使用するなど、新しい監視戦術についても強調しています。セキュリティの向上により、ゼロクリックやその他のリモートスパイウェア攻撃が法外な費用がかかるか実行不可能になるため、当局はデバイスへの物理的なアクセスを通じてデバイスにスパイウェアを感染させる方法にますます頼る可能性があります。実際、一部の国では、デバイスを標的型スパイウェアに感染させるために、家に秘密裏に侵入することを許可する特定の法律を提案しています。セルビアは、侵入性の高いスパイウェアの使用を直ちに停止し、違法なデジタル監視の記録および報告されたすべてのケースについて、迅速かつ独立した公平な調査を実施することを約束する必要があります。また、デジタル技術が人権侵害に悪用されることのないよう、具体的な措置を講じる必要がある。これには、意味のある手続き上の保護、司法審査による効果的な管理・監視システム、被害者救済のための効果的なメカニズムを提供する法的枠組みを導入し、強力に施行することなどが含まれる。法執行機関や治安機関に非常に侵入的な技術を設計・提供しているセレブライトやその他のデジタルフォレンジック企業は、自社製品が人権侵害につながるような方法で使用されないように、意味のある徹底したデューデリジェンスを実施する必要がある。特に、セレブライトは、セルビアで自社の技術がどのように利用されてきたかを調査し、人権への悪影響の可能性を評価し、国際法に反する方法で悪質な行為者が自社のソリューションを使用したりアクセスしたりすることを禁止するために、セレブライトのライセンスを更新しないことを含め、「必要なあらゆる措置を講じる」という約束に基づいて行動すべきである。勧告の全リストは報告書全文の末尾を参照。