著名なデジタルセキュリティ研究所による新たな技術レポートによると、オーストラリア、カナダ、キプロス、デンマーク、イスラエル、シンガポールの政府は、イスラエルのスパイウェアメーカーParagon Solutionsの顧客である可能性が高い。
トロント大学に拠点を置き、10年以上にわたりスパイウェア業界を調査してきた学者とセキュリティ研究者のグループ、The Citizen Labは水曜日、イスラエルで設立された監視スタートアップ企業に関するレポートを発表し、これら6つの政府を「Paragonの導入が疑われる国」と特定した。
1月末、WhatsAppは、同社がParagonスパイウェアの標的になったとみている約90人のユーザーに通知し、イタリアでスキャンダルを引き起こした。 ターゲット ライブ。 Paragon は長い間、NSO Group などの競合他社との差別化を図ってきました。NSO Group のスパイウェアは、数回 悪用 され 悪用 されました 国々 — より責任あるスパイウェアベンダーであると主張することで。2021年、匿名のParagonの上級幹部はForbes誌に対し、権威主義体制や非民主的な体制は決して顧客にはならないと語りました。 1月のWhatsApp通知をめぐるスキャンダルを受け、責任あるスパイウェアベンダーとしての自社の主張を裏付けるためか、Paragonのジョン・フレミング会長はTechCrunchに対し、「同社は世界の民主主義国家の厳選されたグループ、主に米国とその同盟国に技術のライセンス供与を行っている」と述べた。
イスラエルの報道機関は2024年末、米国のベンチャーキャピタルAEインダストリアル・パートナーズがParagonを少なくとも5億ドルの前払いで買収したと報じた。シチズン・ラボは�水曜日に発表した報告書の中で、「協力者からの情報提供」に基づき、パラゴン社がスパイウェアツール「Graphite」に使用しているサーバーインフラを特定できたと述べています。
この情報提供に基づき、関連するパラゴンサーバーとデジタル証明書を識別できる複数のフィンガープリントを開発した後、シチズン・ラボの研究者は、地元の通信会社がホストする複数のIPアドレスを発見しました。シチズン・ラボは、証明書の頭文字がサーバー設置国名と一致しているように見えることから、これらのサーバーはパラゴン社の顧客が所有するサーバーであると考えています。
シチズン・ラボによると、研究者が開発したフィンガープリントの1つは、スパイウェアメーカーの重大な運用ミスと思われる、グラファイト社に登録されたデジタル証明書に繋がりました。
シチズン・ラボは報告書の中で、「強力な状況証拠が、パラゴン社と我々がマッピングしたインフラとの関連性を裏付けています」と述べています。
「我々が発見したインフラは、イスラエル(Paragonの拠点)のIPアドレスから返される『Paragon』というタイトルのウェブページと、『Graphite』という組織名を含むTLS証明書にリンクされている」と報告書は述べている。
Citizen Labは、研究者らが他のコードネームもいくつか特定しており、Paragonの他の政府機関の顧客である可能性を示唆していると指摘した。疑わしい顧客国の中で、Citizen Labはカナダのオンタリオ州警察(OPP)を特に挙げた。疑わしいカナダの顧客のIPアドレスの1つがOPPに直接リンクされていることから、OPPはParagonの顧客である可能性が高い。
TechCrunchは、��オーストラリア、カナダ、キプロス、デンマーク、イスラエル、シンガポールの政府広報担当者に連絡を取ったが、いずれの担当者からもコメントは得られなかった。
OPPの広報担当者であるJeffrey Del Guidice氏は、Citizen Labの調査結果を否定しなかった。むしろ、彼は「特定の捜査手法や技術に関する情報の公開は、進行中の捜査を危険にさらし、公衆と警察官の安全を脅かす可能性がある」と述べた。
TechCrunchの取材に対し、パラゴンのフレミング氏は、シチズン・ラボが同社に連絡を取り、「非常に限られた情報しか提供しておらず、その中には不正確なものも含まれているようだ」と述べた。
フレミング氏はさらに、「提供された情報が限られているため、現時点ではコメントできません」と付け加えた。フレミング氏は、シチズン・ラボの報告書のどこが不正確なのか、またシチズン・ラボが特定した国がパラゴンの顧客であるかどうか、イタリアの顧客との関係はどうなっているのかというTechCrunchの質問には回答しなかった。
シチズン・ラボは、WhatsAppで通知を受け、その後同社に連絡して携帯電話の分析を依頼した人々は全員Androidスマートフォンを使用していたと指摘した。これにより、研究者たちはパラゴンのスパイウェアによって残された「フォレンジック・アーティファクト」を特定することができ、研究者たちはこれを「BIGPRETZEL」と名付けた。 Metaの広報担当者Zade Alsawah氏は、TechCrunchへの声明で、「Citizen LabがBIGPRETZELと呼ぶ指標はParagonと関連していると考えている」と述べた。
Metaの声明には、「商業スパイウェアがジャーナリストや市民社会を標的としてどのように武��器化されるかを私たちは直接目にしてきました。これらの企業は責任を負わなければなりません。当社のセキュリティチームは、脅威に先手を打つために常に取り組んでおり、人々がプライバシーを守りながらコミュニケーションをとることができるよう、今後も尽力していきます」と記されている。
Androidスマートフォンは必ずしも特定のデバイスログを保存しないため、Citizen Labは、たとえParagonのスパイウェアがスマートフォンに侵入した証拠がなくても、Graphiteスパイウェアの標的になった人はより多い可能性が高いと指摘している。また、被害者として特定された人々についても、以前にも標的にされていたかどうかは不明である。
Citizen Labはまた、Paragonのスパイウェア「Graphite」が、OS全体やデバイスのデータを侵害するのではなく、標的のスマートフォン上の特定のアプリを標的として侵害する点を指摘しました。標的ユーザーによる操作は一切不要です。移民支援NGOで働くベッペ・カッチャ氏(イタリアの被害者の一人)のケースでは、Citizen Labは、彼のAndroidデバイス上の他の2つのアプリにもスパイウェアが感染していた証拠を発見しました。ただし、アプリ名は明らかにされていません。
Citizen Labは、デバイスのOSではなく特定のアプリを標的とすることで、フォレンジック調査員がハッキングの証拠を見つけるのが難しくなる可能性がある一方で、アプリ開発者はスパイウェアの活動をより詳細に把握できるようになる可能性があると指摘しました。
「Paragonのスパイウェアは、NSOグループのPegasusのような競合製品よりも発見が難しいですが、結局のところ『完璧な』スパイウェ�ア攻撃というものは存在しません」と、Citizen Labのシニアリサーチャー、ビル・マルザック氏はTechCrunchに語った。「手がかりは私たちが慣れている場所とは違う場所にあるのかもしれません。しかし、協力と情報共有があれば、どんなに困難なケースでも解明できるのです。」
Citizen Labはまた、Caccia氏をはじめとするNGO関係者と緊密に連携しているDavid Yambio氏のiPhoneを解析したと発表した。Yambio氏はAppleから、自分のiPhoneが傭兵スパイウェアの標的になっているという通知を受けていたが、研究者たちはParagonのスパイウェアの標的になったという証拠を見つけることができなかった。
Appleはコメント要請に応じなかった。