NSO Group

米国の連邦判事は、イスラエルのスパイウェア・メーカーNSO GroupがWhatsAppのゼロデイを利用して、少なくとも1,400台のデバイスにPegasusスパイウェアを展開し、米国のハッキング法に違反したとの判決を下した。

NSOグループはPegasusを政府向けの監視ソフトウェアとして販売しており、クライアントが被害者の活動を監視し、侵害されたデバイスからデータを抽出することを可能にしている。

「この判決はプライバシーにとって大きな勝利です」とWhatsAppのウィル・キャスカートは語った。「スパイウェア企業は免責特権の陰に隠れたり、違法行為に対する説明責任を回避することはできないと固く信じているからだ。

Cathcart氏はまた、スパイウェア企業に対する説明責任の重要性を強調し、”監視企業は、違法なスパイ行為は許されないことを知らしめるべきだ “と述べた。

「私たちがこのために戦い、WhatsAppがプライバシーと暗号化についてリードし続けていることを誇りに思います」とメタCEOのマーク・ザッカーバーグは付け加えた

先週の判決は、メタが所有するWhatsAppにとって重要な勝利となった。WhatsAppは5年前、NSOグループがコンピューター詐欺濫用法(Computer Fraud and Abuse Act:CFAA)とカリフォルニア州のコンピューター・データ・アクセス・アンド・詐欺法(Computer Data Access And Fraud Act:CDAFA)に違反しているとして訴訟を起こした。

裁判所はすでにWhatsAppに有利な判決を下しているが、賠償額は来年初めに決定される予定だ。

Krapiva-NSO-tweet

訴訟提起後も続くハッキング

先月提出された法廷文書によると、NSOは「Erised」と呼ばれる未知のエクスプロイトを含む複数のゼロデイ・エクスプロイトを使用してWhatsAppの脆弱性を悪用し、ゼロクリック攻撃でPegasusを展開したとされている。また文書によると、NSOの開発者はWhatsAppのコードをリバースエンジニアリングし、スパイウェアをインストールした悪質なメッセージを送信できるツールを作成し、連邦法および州法に違反したという。

NSOは、WhatsAppが2019年10月に訴訟を起こした後も、2020年5月以降にWhatsAppのサーバーパッチによってアクセスが遮断されるまで、そのエクスプロイトを使用し続け、顧客が利用できるようにしていたとされる。

しかし同社は、同社のスパイウェアプラットフォーム「Pegasus」を使って取得したデータにはアクセスできないとして、顧客の行為に対する責任を否定している。

NSOの広報担当者は先月、「NSOは、このシステムは顧客によってのみ運用されており、NSOもNSOの従業員も、このシステムによって収集されたインテリジェンスにアクセスすることはできないと繰り返し詳述した、これまでの声明を支持する」と述べた。

このような主張にもかかわらず、ペガサスは、米国務省職員英国政府高官カタルーニャの政治家、 フィンランドの外交官ジャーナリスト、活動家など、著名人を標的としたハッキング事件に関連している。

2021年、米商務省産業安全保障局(BIS)は、ジャーナリスト、政府関係者、活動家を標的にしたスパイウェアを供給したとして、NSOグループともう1つのイスラエル企業Candiruを制裁した。同年、アップルはiPhoneをハッキングするためにPegasusを導入したとしてNSOを提訴した。