Metaは、ジャーナリストや市民社会のメンバーを標的とした、WhatsAppを介したマルウェア攻撃キャンペーンを発見し、駆除したと発表しました。このキャンペーンは、スパイウェア「Paragon」(別名Graphite)を使用していました。
このハッキングキャンペーンは90人のユーザーを標的とし、12月に停止されました。WhatsAppはすでに、ユーザーのデバイスが侵害される可能性があることを警告していました。
WhatsAppは、このハッキングキャンペーンを、イスラエルの商用監視ベンダーであるParagonと関連付けました。Paragonは、2024年12月にAE Industrial Partnersによって9億ドルで買収されました。
Metaの専門家によると、脅威アクターは「ゼロクリック」エクスプロイトを使用して、ユーザーの操作なしに標的のデバイスに侵入しました。WhatsAppは標的となった個人の所在地を明らかにしていません。
WhatsAppはParagonに「停止命令」を送付し、法的措置を開始する可能性を検討していると発表した。
WhatsAppは、ジャーナリストや市民社会のメンバーを含む多数のユーザーを標的としたParagonによるスパイウェア攻撃を阻止しました。被害を受けたと思われる人々に直接連絡を取りました。これは、スパイウェア企業が違法行為に対して責任を負わなければならないことを示す新たな事例です。WhatsAppは、引き続き人々のプライバシーを守ります」WhatsApp広報担当者はThe Guardianに語りました。
このスパイウェア攻撃に関する公式報告はありませんが、メディア報道によると、脅威アクターは特別に細工されたPDFファイルを餌として利用した可能性があるとのことです。このファイルは、標的のユーザーがグループチャットに追加された後に送信されました。
研究グループCitizen Labのジョン・スコット=レールトン氏は、まず攻撃を分析し、その結果をWhatsAppと共有したと述べています。Citizen Labは後日、詳細な報告書を発表する予定です。
Paragonは、ジャーナリストや市民社会を標的としたハッキング攻撃に関与していたことが初めて公に明らかになった。IntellexaやNSO Groupといった他のスパイウェアベンダーとは異なり、公に調査された攻撃には関与していなかった。2024年、同社の米国子会社は、自社の技術に悪用防止策が講じられていることを証明し、米国移民関税執行局(ICE)と契約を締結した。
12月、WhatsAppは米国の裁判所で、脆弱性を悪用してPegasusスパイウェアを拡散させたとしてNSO Groupを相手取り、勝訴しました。WhatsAppのウィル・キャスカート氏は、この判決をプライバシー保護における大きな勝利と呼び、5年間の法廷闘争を経て、スパイウェア企業の責任追及を強調しました。
裁判所の文書によると、原告は2019年10月29日に本訴訟を提起し、被告がWhatsAppを利用して約1,400台の携帯電話やデバイスを標的にし、監視ソフトウェアに感染させたと主張している。
「被告の関連ソフトウェア製品(総称して「Pegasus」)は、被告の顧客がWhatsAppアプリケーションの改変版(「Whatsappインストールサーバー」または「WIS」と呼ばれる)を使用することを可能にしている」 「WISは、とりわけ、被告のクライアントが「インストールベクトル」を含む「暗号」ファイルを送信することを許可しており、最終的にはクライアントがターゲットユーザーを監視できるようにする」と裁判所文書には記されている。公開された「前述の通り、原告は被告の行為がCFAA、CDAFA、および契約違反に当たると主張してい�る。」
米国の裁判所は、NSOグループがペガサスのソースコードを含む重要な証拠を繰り返し提出しなかったと判断し、制裁を科し、より厳しい罰則は後日とすることを決定した。
WhatsAppは、NSOがAWSサーバーのコードのみを提供し、コードベース全体を提供しなかったと主張した。ハミルトン判事は、透明性への懸念を理由に、NSOの不遵守を批判した。
裁判所は、NSOグループがWhatsAppの利用規約に違反したとして、 WhatsAppは、この決定をプライバシーの勝利と称賛した。