このプレスリリースはセルビア語でもご覧いただけます。「Srbija: Vlasti koriste špijunske Softvere i forenzičke alate kompanije Cellebrite za hakovanje novinara i」 aktivista".*
この報告書のウェブページとしての概要を公開しました。報告書全文は Amnesty.org から PDF 形式 で入手できます��。
アムネスティ・インターナショナルの新しい報告書によると、セルビアの警察と諜報機関は、高度な電話スパイウェアと携帯電話のフォレンジック製品を使用して、ジャーナリスト、環境活動家、その他の個人を秘密裏に違法にターゲットにし、監視活動を行っています。
報告書「*「デジタル刑務所」:セルビアにおける監視と市民社会の抑圧」は、イスラエルの Cellebrite 社製のモバイルフォレンジック製品が、ジャーナリストや活動家のモバイルデバイスからデータを抽出するために使用されている様子を文書化しています。また、セルビア警察と安全保障情報局(BIA)が、拘留中や警察の取り調べ中に、特注のAndroidスパイウェアシステムであるNoviSpyを使用して、個人のデバイスを密かに感染させていたことも明らかにした。
「私たちの調査は、セルビア当局が監視技術とデジタル抑圧戦術を、市民社会に対するより広範な国家統制と抑圧の手段としてどのように展開してきたかを明らかにしています」と、アムネスティ・インターナショナルのヨーロッパ地域副ディレクター、ディヌシカ・ディサナヤケ氏は述べた。
「また、世界中の警察や諜報機関で広く使用されているセレブライトのモバイルフォレンジック製品が、厳格な法的管理と監視の外で使用された場合に、人権、環境、言論の自由を主張する人々に大きなリスクをもたらす可能性があることも浮き彫りにしています。」
Cellebrite と NoviSpy がデバイスを標的にする方法
Cellebrite はイスラエルに設立され、本社を置いているが、世界中にオフィスを持つ企業で、法執行機関や政府機関向けに Cellebrite UFED 製品スイートを開発しています。この製品を使用すると、デバイスのパスコードにアクセスしなくても、最新の Android デバイスや iPhone モデルを含むさまざまなモバイル デバイスからデータを抽出できます。
Pegasus のような侵入性の高い商用スパイウェアほど技術的に進歩しているわけではありませんが、これまで知られていなかった Android スパイウェアである NoviSpy は、標的のデバイスにインストールされると、セルビア当局に広範な監視機能を提供します。
NoviSpy は、標的の電話から機密性の高い個人データをキャプチャし、電話のマイクやカメラをリモートでオンにする機能を提供します。一方、Cellebrite フォレンジック ツールは、スパイウェア感染前に電話のロックを解除し、デバイス上のデータを抽出するためにも使用されます。
重要なことに、アムネスティ・インターナショナルは、セルビア当局が Cellebrite 製品を使用して活動家の携帯電話に NoviSpy スパイウェアを感染させたことを示す法医学的証拠を発見しました。少なくとも 2 つのケースでは、Cellebrite UFED エクスプロイト (バグや脆弱性を利用するソフトウェア) を使用して Android デバイスのセキュリティ メカニズムを回避し、警察の取り調べ中に当局が密かに NoviSpy スパイウェアをインストールできるようにしました。
アムネスティ・インターナショナルはまた、セルビア当局が Cellebrite を使用して Android デバイスのゼロデイ脆弱性 (元のソフトウェア開発者には知られておらず、ソフトウェア修正が利用できないソフトウェアの欠陥) を悪用し、環境活動家の携帯電話への特権��アクセスを獲得した方法も特定しました。この脆弱性は、Google Project Zero および Threat Analysis Group のセキュリティ研究者との協力 で特定され、人気の Qualcomm チップセットを使用する世界中の何百万台もの Android デバイスに影響を与えました。セキュリティ問題を修正するアップデートは、2024 年 10 月の Qualcomm セキュリティ速報 でリリースされました。ジャーナリストや活動家に対する Cellebrite の電話ハッキングとスパイウェア感染の脅威
2024 年 2 月、セルビアの独立調査ジャーナリストである Slaviša Milanov が、飲酒運転の検査を行うという口実で警察に逮捕され、拘留されました。拘留中、Slaviša は私服警官からジャーナリズムの仕事について尋問を受けました。Slaviša が警察に引き渡した際に、彼の Android スマートフォンはオフにされており、パスコードを求められたり、提供したりしたことは一度もありませんでした。
釈放後、Slaviša は、尋問中に警察署の受付に残した自分のスマートフォンが改ざんされたようで、電話のデータがオフになっていることに気付きました。
彼は、アムネスティ・インターナショナルのセキュリティ ラボに、自分のスマートフォン (Xiaomi Redmi Note 10S) の法医学的分析を行うよう依頼しました。分析の結果、セルブライトの UFED 製品が、拘留中のスラヴィシャ氏の携帯電話を秘密裏にロック解除するために使用されたことが明らかになった。
追加の法医学的証拠は、その後、セルビア当局がスラヴィシャ氏の携帯電話に感染させるために NoviSpy を使用したことを示した。報告書の 2 番目のケースは、環境活動家ニコラ・リスティッチ氏が関与したもので、同様の法医学的証拠が見つかり、セルブライト製品がデバイスのロック解除に使用され、その後 NoviSpy に感染することができた。
「法医学的証拠は、セルビア警察がスラヴィシャ氏のデバイスを所有していた間に NoviSpy スパイウェアがインストールされ、感染は Cellebrite UFED のようなデバイスのロック解除が可能な高度なツールの使用に依存していたことを証明している。アムネスティ・インターナショナルは、NoviSpy スパイウェアが BIA によるものであると確信している」と、アムネスティ・インターナショナルのセキュリティ研究所の責任者であるドンチャ・オ・チャルバイル氏は述べた。
警察やBIAに苦情を申し立てている間にNoviSpyに感染した活動家
拘留中やインタビュー中に人々のデバイスに密かにスパイウェアをインストールするこの戦術は、当局によって広く使用されているようです。
別のケースでは、西バルカン諸国での対話と和解を推進する組織であるKrokodilの活動家が、2024年10月にBIA職員とのインタビュー中に、携帯電話(Samsung Galaxy S24+)にスパイウェアが感染しました。
この活動家は、ロシアのウクライナ侵攻に対するKrokodilの公的な非難に表面上は反対するロシア語話者による事務所への攻撃に関する情報を提供するため、ベオグラードのBIA事務所に招待されました。
インタビュー後、活動家は自分の携帯電話が改ざんされたのではないかと疑っていました。��アムネスティ・インターナショナルは要請に応じて法医学調査を実施し、BIAのインタビュー中にデバイスにNoviSpyがインストールされていたことを発見した。アムネスティ・インターナショナルはまた、活動家が携帯電話を使用している間にNoviSpyがキャプチャした監視データを回復し、解読することができた。これには、電子メールアカウント、SignalおよびWhatsAppメッセージ、ソーシャルメディアアクティビティのスクリーンショットが含まれていた。
アムネスティ・インターナショナルは、記事の公開前にAndroidとGoogleのセキュリティ研究者にNoviSpyスパイウェアキャンペーンを報告し、影響を受けたAndroidデバイスからスパイウェアを削除する措置を講じた。Googleはまた、このキャンペーンの標的になり得ると特定した個人に「政府支援の攻撃」アラートを一斉に発信した。
国家のデジタル監視と抑圧戦術がセルビアの市民社会に与える影響
セルビアの活動家たちは、この標的化によってトラウマを負っている。
「これは、人々のコミュニケーションを完全に阻止する非常に効果的な方法です。あなたが言ったことは何でもあなたに不利に働く可能性があり、個人レベルでも職業レベルでも麻痺状態になります」と、ペガサス スパイウェアの標的となった活動家、ブランコ* 氏は語りました。
この標的化は自己検閲にもつながりました。
「私たちは皆、デジタル刑務所、デジタル強制収容所のような形になっています。私たちは自由があるという幻想を抱いていますが、現実にはまったく自由がありません。これには 2 つの影響があります。自己検閲を選択するか、とにかく発言�するかのどちらかです。後者の場合は、結果に直面する覚悟が必要です」と、同じくペガサス スパイウェアの標的となった活動家、ゴラン* 氏は語りました。
活動家のアレクサンダル氏もペガサススパイウェアの標的にされ、「プライバシーが侵害され、個人の安全に対する私の意識は完全に打ち砕かれました。大きな不安を引き起こしました。パニックに陥り、孤立してしまいました」と語っています。
これらの調査結果を受けて、ペガサスを開発したNSOグループは、セルビアが顧客であったかどうかは確認できなかったものの、「同グループは人権を尊重する責任を真剣に受け止めており、人権への悪影響を引き起こしたり、加担したり、直接的に結び付けられたりしないように強く努めており、NSOグループ製品の不正使用に関する信頼できる申し立てをすべて徹底的に調査しています」と述べています。
Cellebriteは、当社の調査結果を受けて、「当社のデジタル調査ソフトウェアソリューションは、マルウェアをインストールしたり、スパイウェアやその他の攻撃的なサイバー活動と一致するリアルタイムの監視を行ったりすることはありません。
「アムネスティ・インターナショナルが当社の技術の不正使用疑惑を取り上げてくれたことに感謝します。当社は、エンドユーザー契約に明記されている明示的および暗黙的な条件に反する方法で当社の技術を悪用する可能性があるというすべての申し立てを真剣に受け止めています。
「当社はこの報告書でなされた主張を調査中です。それが立証された場合、当社は Cellebrite と関連機関との関係の終了を含む適切な制裁を課す用意があります。」
調査プロセスの初期に送られたアムネスティ・インターナショナルの質問に対して、Cellebrite は、自社の製品は「合法的な使用のみにライセンスされており、犯罪発生後の法執行機関による法的に認可された調査を支援するには令状または同意が必要です」と述べました。
これが意図された使用方法である可能性はありますが、アムネスティ・インターナショナルの調査は、正当な犯罪捜査の外で Cellebrite の製品がスパイウェアの展開や携帯電話からの広範なデータ収集を可能にするために悪用され、人権に重大なリスクをもたらす可能性があることを実証しています。
アムネスティ・インターナショナルは、この調査結果を出版前にセルビア政府に伝えましたが、回答は得られていません。
セルビア当局は侵入性の高いスパイウェアの使用を中止し、違法な標的型監視の被害者に効果的な救済策を提供し、違反の責任者を処罰する必要があります。Cellebriteやその他のデジタルフォレンジック企業も、自社製品が人権侵害につながるような方法で使用されないように十分なデューデリジェンスを実施する必要があります。
過去数年間、セルビアでは反政府抗議運動が波を巻き起こすたびに、国家による弾圧と言論の自由の擁護者に対する敵対的な環境が激化してきました。当局はNGO、メディア、ジャーナリストに対する中傷キャンペーンを継続的に展開し、平和的な抗議活動に関わった人々を逮捕や司法による嫌がらせの対象にしてきました。
*個人情報を保護するため名前を変更し��ました
アムネスティ・インターナショナルは、NoviSpy スパイウェア 侵害の兆候 も公開し、セルビアの市民社会が モバイル検証ツールキット を使用して、NoviSpy による標的の証拠がないかデバイスをチェックできるようにしました。