アムネスティ・インターナショナルの新しい報告書によると、セルビアの警察と諜報機関は、モバイルデバイス用の高度なスパイウェアとモバイルフォレンジックツールを使用し、ジャーナリスト、環境活動家、その他の個人を秘密裏に違法に標的にして監視活動を行っている。
「デジタル刑務所:セルビアにおける市民社会の監視と抑圧」と題されたこの報告書は、イスラエル企業 Cellebrite のモバイル フォレンジック製品がジャーナリストや活動家のモバイル デバイスからデータを抽出するために使用されている様子を文書化している。報告書では、セルビア警察と安全保障情報局 (BIA) が、警察による拘留や尋問中に密かにデバイスを感染させるために、Android デバイス用のカスタム NoviSpy スパイウェア システムを使用していたことが明らかにされている。
「私たちの調査は、セルビア当局が監視技術とデジタル抑圧戦術を、市民社会に対するより広範な統制と抑圧の手段としてどのように利用してきたかを示している」と、アムネスティ・インターナショナルのヨーロッパ地域副代表ディヌシカ・ディサナヤケ氏は述べた。
「報告書はまた、世界中の警察や諜報機関で広く使用されているセレブライトのモバイルフォレンジック製品が、特に厳格な法的規制や監視なしに使用されると、人権、環境保護、言論の自由を主張する人々に大きなリスクをもたらす可能性があることも強調している。」
CellebriteとNoviSpyがデバイスをターゲットにする方法
Cellebrite はイスラエルに設立され、イスラエルに本社を置き、世界中にオフィスを構え、法執行機関や政府機関向けに Cellebrite UFED 製品スイートを開発している企業です。これらのツールを使用すると、ロック解除コードにアクセスしなくても、最新の Android や iPhone モデルを含む幅広いモバイル デバイスからデータを抽出できます。
NoviSpy は、これまで知られていなかった Android デバイス用のスパイウェアですが、Pegasus などの侵入性の高い商用スパイウェアほど技術的に高度ではありませんが、標的のデバイスにインストールされると、セルビア当局に広範な監視機能を提供します。
NoviSpy を使用すると、標的の電話から機密性の��高い個人データを収集できるほか、電話のマイクやカメラをリモートで起動することもできます。一方、Cellebrite のフォレンジック ツールは、スパイウェアをインストールする前に電話のロックを解除したり、デバイスからデータを抽出したりするために使用されます。
重要なのは、アムネスティ・インターナショナルが、セルビア当局がセレブライト製品を使用して活動家の携帯電話にスパイウェア「NoviSpy」を感染させたことを示す法医学的証拠を発見したことだ。少なくとも 2 件のケースでは、Cellebrite UFED エクスプロイトが Android デバイスのセキュリティ メカニズムを回避するために使用され、警察の尋問中に当局が NoviSpy スパイウェアを密かにインストールすることができました。アムネスティ・インターナショナルはまた、セルビア当局がセルブライトを利用してAndroid端末の「ゼロデイ」脆弱性(ソフトウェア開発者には知られておらず、パッチも提供されていないソフトウェアバグ)を悪用し、環境活動家の携帯電話への特権アクセスを獲得したことも明らかにした。Project ZeroとThreat Analysisに取り組んでいるGoogleのセキュリティ研究者との共同作業で発見されたこの脆弱性は、人気のあるQualcommチップセットを使用している世界中の何百万台ものAndroid端末に影響を与え、セキュリティ問題を修正するアップデートが2024年10月のQualcomm Security Bulletinでリリースされた。
セルブライトの電話ハッキングとスパイウェア感染がジャーナリストや活動家を脅かす
2024年2月、セルビアの独立調査ジャーナリスト、スラヴィシャ・ミラノフが飲酒検知器検査を口実に警察に逮捕され、拘留された。拘�留中、スラヴィシャ氏は私服警官からジャーナリストとしての活動について尋問を受けた。彼が警察にAndroidスマートフォンを渡したとき、そのスマートフォンは電源が切られており、ロック解除コードを求められたり、提供したりすることはなかった。
釈放後、スラヴィシャさんは、尋問中に警察署の受付に置き忘れた携帯電話が不正アクセスされ、携帯電話のデータがオフになっていたことに気づいた。
彼はアムネスティ・インターナショナルのセキュリティ研究所に、この携帯電話(シャオミ・レッドミ・ノート10S)の法医学的分析を依頼した。分析の結果、セルブライトUFED製品が、拘留中にスラヴィサ氏の携帯電話を秘密裏にロック解除するために使用されたことが判明した。
追加の法医学的証拠により、セルビア当局がその後NoviSpyを使用してスラヴィサの携帯電話を感染させたことが判明した。報告書で引用されている環境活動家ニコラ・リスティックの別の事件でも、セルブライト製品を使用してデバイスのロックを解除し、その後ノビスパイウェアに感染させたという同様の法医学的証拠が見つかった。
「我々の法医学的証拠は、セルビア警察がスラヴィサのデバイスを所持していた間にNoviSpyスパイウェアがインストールされ、デバイスのロックを解除できるCellebrite UFEDなどの最新ツールが感染に使用されたことを確認している。」 「アムネスティ・インターナショナルは、NoviSpyスパイウェアがBIAによるものであると確信している」とアムネスティ・インターナショナルのセキュリティ研究所所長ドンチャ・オ・セアバイル氏は述べた。
警察に苦情を申し立てている活動家がNoviSpyスパイウェアに感染
拘留中や尋問中に個人のデバイスにスパイウェアを密かにインストールするというこの手法は広く行われているようだ。
別のケースでは、西バルカン諸国での対話と和解を推進する組織「クロコディル」の活動家のサムスンギャラクシーS24+スマートフォンが、2024年10月にBIA職員との会話中にスパイウェアに感染した。
この活動家は、明らかにクロコディルがロシアのウクライナ侵攻を公に非難したことに対する反応として、ロシア語を話す人物によるBIAの施設への襲撃に関する情報を提供するため、ベオグラードのBIA事務所に召喚された。
会話の後、活動家は自分の携帯電話が不正アクセスされたのではないかと疑った。彼の要請により、アムネスティ・インターナショナルは法医学調査を実施し、BIAとの会話中にNoviSpyがデバイスにインストールされていたことが判明した。アムネスティ・インターナショナルはまた、活動家が携帯電話を使用している間にNoviSpyが収集した、電子メールアカウントのスクリーンショット、SignalやWhatsAppからのメッセージ、ソーシャルメディアの活動などのデータを回復し、解読することにも成功した。
アムネスティ・インターナショナルは、報告書が公開される前に、Androidセキュリティ研究者とGoogleにNoviSpyスパイウェアの使用を報告し、影響を受けるAndroidデバイスからNoviSpyを削除する措置を講じられるようにした。 Google はまた、このキャンペーンの標的の可能性があると特定された個人に対して、「政府が支援する攻撃」に関する通知を送信しました。
デジタル国家の監視と抑圧戦術がセルビアの市民社会に与える影響
セルビアの活動家たちは標的にされることでトラウマを負っている。
「これは人々の間のコミュニケーションを完全に阻止するのに非常に効果的な方法です。」 「あなたが言ったことはすべて不利に使われる可能性があり、それは個人レベルでも職業レベルでも麻痺状態になります」と、ペガサススパイウェアの標的となった活動家のブランコ氏は語った。
自己検閲もまた、ターゲティングの結果の一つです。
「我々は皆、一種のデジタル監獄、デジタル強制収容所に閉じ込められている。我々は自由があるという幻想を抱いているが、現実には全く自由はない。選択肢は二つある。自己検閲を選択するか、仕事に深刻な影響を与えるか、何があろうとも名乗り出るかだ。名乗り出る場合は、その結果に直面する覚悟が必要だ」と、スパイウェア「ペガサス」の標的となった活動家ゴラン氏は語った。
ペガサススパイウェアの標的となった活動家アレクサンダル*は、「私のプライバシーは侵害され、個人的な安全感は完全に破壊されました。それは大きな不安を引き起こしました...私はパニックになり、非常に孤立した状態になりました。」
これらの調査結果に対して、ペガサスを開発したNSOグループは、セルビアが顧客であったかどうかは確認できなかったが、「人権を尊重する責任を真剣に受け止めており、人権への悪影響を引き起こしたり、助長したり、直接関係したりすることを避けるよう強く努めており、NSOグループ製品の不正使用に関する信頼できる申し立てをすべて徹底的に調査する」と述べた。
私たちの調査結果に対して、Cellebrite は次のように述�べました。「当社のデジタル ソフトウェア ソリューションは、スパイウェアをインストールしません。また、スパイウェアのようなリアルタイムの監視やその他の侵入的なサイバー活動も実行しません。」
「アムネスティ・インターナショナルが私たちの技術の不正使用疑惑を指摘してくれたことに感謝する。」当社は、エンドユーザー契約に定められた明示的および黙示的な条件に違反するような方法で、ユーザーによる当社技術の潜在的な悪用に関する申し立てを真剣に受け止めます。」
「我々はこの報告書でなされた申し立てについて調査中だ。」 「事実が確認されれば、セレブリットと関係機関との関係を断つことを含め、適切な制裁を課す用意がある」
報告書の調査中にアムネスティ・インターナショナルから送られてきた質問に応えて、
セルブライトは、自社の製品は「人命の保護と救助、司法の迅速化、データプライバシーの保護に必要な技術を法執行機関に提供するデジタルフォレンジックプラットフォーム」であると述べた。
また、同社は自社製品が「合法的な使用のみに認可されており、犯罪発生後の法執行機関による合法的な捜査を支援するには令状または同意が必要である」と述べた。
これは意図された使用方法かもしれませんが、私たちの調査では、Cellebrite 製品が悪用され、正当な犯罪捜査の範囲外でスパイウェアの展開や携帯電話からの幅広いデータの収集が可能になり、人権に対する重大な脅威となる可能性があることが示されています。
アムネスティ・インターナショナルは報告書の公表前にその調査結果をセルビア政府に提出したが、�報告書の公表前には何の返答も得られなかった。
セルビア当局は、極めて侵入性の高いスパイウェアの使用を緊急に停止し、違法な標的型監視の被害者に効果的な賠償金を提供し、権利を侵害した者を責任を持って訴追する必要がある。 Cellebrite やその他のデジタルフォレンジック企業も、自社製品が人権侵害につながるような方法で使用されないように十分なデューデリジェンスを実施することが求められています。
過去数年にわたり、セルビアでは反政府抗議運動の波が押し寄せるたびに、国家による弾圧と言論の自由を主張する人々に対する敵対的な環境が激化してきた。当局はNGO、メディア、ジャーナリストに対する中傷キャンペーンを継続的に展開しており、平和的な抗議活動の参加者も逮捕や法的弾圧の標的となっている。
*個人情報を保護するため、名前は変更されています。