イスラエルのスパイウェアメーカーParagonは、暗号化されたスマートフォンをハッキングできる軍用レベルの監視技術「Graphite」へのアクセスを遮断するなど、イタリアとの取引を終了した。
この決定は、WhatsAppが金曜日に、このソフトウェアが約100人のジャーナリストと市民社会活動家のアカウントに侵入するために使用されたと告発したことを受けてのものだ。このアカウントには、極右のジョルジャ・メローニ首相率いるイタリアの現政権に積極的に批判的な3人の被害者が含まれている。
パラゴン社は、イスラエルの治安機関や米国のFBIなどを含む国��家機関とのみ提携し、「Graphite」と呼ばれるスパイウェアを通じてハッキング能力を提供しています。また、欧州、特にEUにも多数の顧客を抱えており、その中にはイタリアも含まれ、イタリアでは法執行機関と諜報機関という2つの異なる機関と提携しています。
最近、米国の防衛関連企業に売却された同社が、この技術が悪用された可能性のある事案に関与したことが明らかになったのは今回が初めてです。
事件に詳しい情報筋はハアレツ紙に対し、発覚後、パラゴン社はイタリアに対し、疑惑への回答とハッキング疑惑の詳細の提供を求めたと語った。今週初め、イタリアの顧客2社はGraphiteとの通信を切断され、スパイウェアへのアクセスもできなくなった。
イタリア政府は水曜日、パラゴン社による情報漏洩疑惑の申し立てに対し、首相官邸からの声明でこれを否定し、その後、国民への声明を発表した。
この声明はジャーナリストを標的にしたものではないと否定し、責任を他のヨーロッパ諸国に転嫁しているようにさえ見えた。「これまでに被害に遭ったユーザーは、イタリアに加えて、ベルギー、ギリシャ、ラトビア、リトアニア、オーストリア、キプロス、チェコ共和国、デンマーク、ドイツ、オランダ、ポルトガル、スペイン、スウェーデンの電話番号のプレフィックスを持つ番号に属している」とイタリアは述べ、事実上、ラトビアとギリシャを除くEU内のパラゴンの顧客リストを提供した。パラゴンはこれらの国とは取引がないことが知られている。ギリシャのプライバシー当局は、複数のギリシャ国民がハッキングされた可能性があるという通知を受け取ったことを確認した。
パラゴンはイタリアの説明を受け入れなかったようだ。木曜日の朝、パラゴン社の米国オーナーとイスラエル経営陣が、イタリアの顧客へのアクセスを再開せず、同国とのあらゆる関係を即時終了することを決定したというニュースが報じられました(当初はガーディアン紙、後にハアレツ紙が確認)。
考えられる説明の一つは、パラゴン社がイタリア側の主張が虚偽であると考えていることです。同社は、不正使用やいわゆる「エンドユーザー契約」違反の疑いが確実にある場合、顧客によるシステムの使用状況を調査できるからです。今回のケースもその一つです。
パラゴンのより有名な競合企業であるNSOが製造したグラファイトとペガサスは、テロ対策と重大犯罪防止のために開発された。イスラエルの防衛輸出法では、これらの犯罪には最低6年の懲役刑が科される。サイバー攻撃的な輸出に詳しい情報筋によると、パラゴンのイタリアの顧客2社のうち1社が実際にこのスパイウェアを使用してジャーナリストと政治活動家のデバイスをハッキングしていた場合、イスラエルの輸出規制と同社の契約条件の両方に違反していたことになるという。
その結果、パラゴンは顧客に説明を求めると予想され、顧客は違反の正当性を証明しなければ、ライセンスの失効やシステムからの遮断のリスクにさらされることになる。
NSOは、ジャーナリストや反体制派を標的とする��など、ペガサスが悪用されていたことが公になったことを受け、ポーランド、ハンガリー、サウジアラビアの顧客を既に遮断している。
今回の報道は、パラゴンが長年築き上げてきた「クリーン」で「責任ある」企業というイメージに疑問を投げかけるものだ。長年人権問題に尽力し、ジャーナリストに対してスパイウェアを使用する顧客との取引を断つと表明してきたパラゴンにとって、今回のイタリアでの事例は真の試金石となる。
パラゴンのイタリアの顧客が、市民社会、特にジャーナリストを標的としてグラファイトを使用した場合、パラゴンは契約を解除し、システムから顧客を遮断する義務を負う。ペガサスの悪用に関する過去の事例では、ポーランド、ハンガリー、サウジアラビアの顧客が遮断されたが、これはNSOの主導によるものだった。パラゴン社は以前、これらの国々や、メキシコなどNSOが引き続き協力している他の国々からの申し出を拒否したと述べている。
特に物議を醸した事例は、いわゆるカタランゲート事件で、スペインによるNSOのペガサスの使用が絡んでいる。(https://www.haaretz.com/israel-news/tech-news/2022-04-24/ty-article/.premium/democracies-dont-spy-on-citizens-catalan-leader-infected-with-pegasus-speaks-out/00000180-6563-d5ca-a986-7f6f2b560000) ニューヨーカー誌が暴露したように、皮肉なことにモロッコのサイバースパイ活動の標的となったスペイン政府は、カタルーニャの指導者たちをスパイするためにペガサスを使用していた。このケースは、カタルーニャの民族主義運動が非暴力主義であり、民主的な手段による独立を主張している一方で、スペインの治安当局がそのような監視を正当と判断する可能性があるため、境界線上にあると判断されました。結果として、スペインへの通信は遮断されませんでした。
より広い観点から言えば、イスラエルはサイバー企業に対し、顧客との関係を断つよう強制したことはありません。サウジアラビアのケースでは、NSOがサウジアラビアとペガサス通信の通信を遮断した後、イスラエル当局はペガサス通信の復旧を同社に圧力をかけましたが、NSOはこの要請を拒否しました。
2022年8月、ハアレツは、欧州諸国からイスラエルのサイバー産業が厳しく批判されているにもかかわらず、依然として同国の最大の顧客であることを明らかにした。欧州議会のペガサススパイウェアに関する調査委員会の代表者がイスラエルを訪問し、NSO関係者は同社がEU加盟27カ国のうち12カ国と有効な契約を結んでいることを明らかにした。当時ハアレツが入手した委員会の質問に対する社内回答によると、NSOは22の欧州安全保障機関および法執行機関と協力していることが明らかになった。
委員会の代表団は2022年夏にイスラエルを訪れ、同国の攻撃的サイバー産業を調査し、NSOの代表者、イスラエル国防省関係者、そして現地の専門家と協議を行いました。委員会メンバーの中には、NSOの顧客に電話をハッキングされたカタルーニャ州議会議員もいました。
委員会は、2021年のペガサス・プロジェクトの調査を受けて設立され、ペガサスのような攻撃的サイバーツールの購入、輸入、使用に関するEU全体の規制を策�定することを目指していました。しかし、委員会メンバーがイスラエル滞在中、そしてブリュッセルに戻ってからも、ヨーロッパにも発達した攻撃的サイバー産業があり、その顧客の多くはヨーロッパ諸国政府であることが明らかになりました。
現在、イタリアのメローニ政権のような政権の台頭やドナルド・トランプ氏のホワイトハウス復帰により、監視技術と、西側諸国の民主主義国はそれを悪用する可能性が低いという仮説をめぐって、欧米両国で新たな議論が巻き起こっています。この最新の暴露は、こうした技術の販売をあらゆる場所で禁止すべきという要求を改めて呼び起こす可能性が高い。
シチズン・ラボの研究員、ジョン・スコット=レールトン氏は水曜日、ハアレツ紙に対し、WhatsAppユーザーを標的としたParagonスパイウェアの発見は「傭兵スパイウェアが蔓延し続けていること、そしてそれに伴い、問題のある使用のパターンが依然として見られることを改めて認識させるものだ」と述べた。
スコット=レールトン氏はさらに、「イタリアにはParagonの問題があり、今度はParagonがイタリアの問題を抱えている。傭兵スパイウェアのビジネスモデルには欠陥があり、どんなに優れたマーケティングを展開しても、実際の事例と対峙すれば生き残ることはできない。民主主義国家にも監視の濫用は存在しており、この基本的な歴史的事実を無視するのは言い訳に過ぎない。2025年という時代に、すべての顧客に対して常に疑念を抱かないスパイウェア企業は、故意に目をつぶっていると言えるだろう」と付け加えた。