(EurActiv) --- 本日公開された新しいレポートによると、Graphiteスパイウェアの開発元であるイスラエル企業Paragon Solutionsは、これまで知られていたよりも多くのEU諸国で活動しているようです。
1月にWhatsAppが、イタリアやその他の地域でジャーナリストや活動家を含む少なくとも90人を標的にスパイウェアが使用されていたことを明らかにしたことで確認、国を揺るがすスキャンダルを引き起こした。
2012年からスパイウェアの悪用を調査しているカナダの人権団体Citizen Labによる報告書は、イタリアに加え、デンマークとキプロス、そしてオーストラリア、カナダ、シンガポール、イスラエルといったヨーロッパ以外の国々にもParagonの潜在的な顧客がいることを指摘しています。Citizen Labの調査では、Paragon Solutionsとカナダ・オンタリオ州警察との潜在的なつながりも明らかになりました。
この報告書は、WhatsAppとは独立して、Paragonのイタリアの標的に感染していることがフォレンジック調査によって確認された初めての事例です。
「Paragonのスパイウェアは、Pegasusなどの競合製品よりも発見が難しいですが、結局のところ、『完璧な』スパイウェア攻撃というものは存在しません」と、Citizen Labのシニアリサーチャー、ビル・マルザック氏はEuractivに語った。
「手がかりは私たちが慣れている場所とは異なる場所にあるかもしれませんが、協力と情報共有があれば、どんなに困難なケースでも解明できるのです」と同氏は述べた。
Citizen Labの研究者たちは、新しい攻撃の検知には急激な学習曲線があり、今回の調査のようなことは、エクスプロイトの微妙な兆候が潜んでいる可能性のある場所に焦点を移す必要があることを示していると指摘した。
「フォレンジックの専門家やアプリ開発者がこれらの兆候を正確に特定できるようになると、スパイウェア企業が行ったトレードオフはデメリットになります」と、Citizen Labのシニアリサ��ーチャー、レベッカ・ブラウン氏は述べた。
ドイツとのつながり
この報告書は、Citizen LabがParagonのスパイウェアツールGraphiteに起因するとしているサーバーインフラを詳細に示している。報告書は、他の調査結果の中でも、攻撃にドイツのデータセンターが関与していたことを指摘している。
「ドイツのデータセンターが感染に使用されたかどうかは確実には分からない」とマルツァック氏は説明した。「Paragonインフラの一部が、ドイツのデータセンターの単一顧客によって運用されていることは分かっている。そのインフラの目的は完全には明らかではないが、Paragonの顧客が使用しているインフラと類似しているように見える。」
「これは、誰がインフラを運用し、誰が保守しているのか、(スパイウェアの)開発者と運営者の両方がどの程度の可視性を持っているのかといった重要な疑問を提起する。また、スパイウェア事件には複数の重複する欧州のつながりがあることを示唆している」と、シチズン・ラボのシニアリサーチャー、ジョン・スコット=レールトン氏は述べた。
最近、Euractivは独占報道により、Paragonがドイツに拠点を構え、単一市場の利点を活かしてEU域内で最小限の監視の下でツールを取引できる可能性があると報じました。
ParagonのEU域内における顧客と被害者
しかしながら、ParagonのEU域内における顧客や被害者が正確にどこに拠点を置いているかは依然として不明です。イタリア政府は報道機関からの問い合わせや説明要請を受け、2月5日に声明を発表し、WhatsAppは問題のユーザーが国番号に基づいてオーストリア、ベルギー、キプロス、チェコ共和国、デンマーク、ドイツ、ギリシャ、ラトビア、リトアニア、オランダ、ポルトガル、スペイン、スウェーデンの13以上のEU加盟国に拠点を置いていると述べたと主張した。
「スパイウェア悪用のグラウンドホッグ・デー(悪用が繰り返される時期)です。そして、問題はイタリアだけにとどまりません。最近の報告によると、ドイツもParagonスパイウェアの顧客でした。デンマークとキプロスも同様です」と、元議会のPEGAスパイウェア調査委員会メンバーで、ドイツの緑の党議員ハンナ・ノイマン氏は述べています。
「Paragonがどのように、そして誰に対して使用されたのかを今すぐ確認することが重要です。我々はすでにドイツ政府に一連の質問書を送り、透明性を求めています」とノイマン氏は付け加えた。
WhatsAppが1月に暴露した情報によると、イタリアにおけるParagonの被害者には、Fanpage.itの編集長フランチェスコ・カンチェラート氏と、リビアの移民支援活動家ダヴィド・ヤンビオ氏が含まれていた。両氏は最近、ストラスブールの欧州議会で開催されたイベントで発言し、欧州議会が採択した決議やPEGA調査委員会の調査結果にもかかわらず、スパイウェアに関する欧州委員会の立法上のフォローアップの欠如を強調しました。
「欧州委員会は沈黙を守っています。度重なる警告にもかかわらず、何の対策も緊急性もありません。規制の抜け穴を塞ぎ、厳格な禁止措置を施行し、被害者を保護しなければ、スパイウェアの悪用は野放しのまま続くでしょう。EUは今すぐ行動を起こさなければなりません。この悪循環に終止符を打つためには、拘束力のある規則、真の監視、そして説明責任が必要です」とノイマン氏は述べた。「欧州委員会の継続的な不作為はもはや容認できません。委員会に対し、2023年後半に予定されている、長らく遅れていたスパイウェアに関する報告書を直ちに公表するよう強く求めます。また、ポーランド議長国に対し、スパイウェア悪用対策をEU理事会における最優先事項とするよう求めます。私たちが遵守すると主張する基準を尊重しなければ、スパイウェアの悪用を許し、有害な結果をもたらす危険な前例を作ってしまう恐れがあります」と、EU全体でスパイウェア悪用対策に取り組む市民社会連合を率いるCDTヨーロッパのセキュリティ・監視・人権プログラム・ディレクター、シルビア・ロレンソ・ペレス氏は述べた。