イスラエルのスパイウェア製造会社NSOグループは、Facebookが米国のITサービスを利用しており米国に拠点があるためカリフォルニア州で訴えられる可能性があるという同社の主張を否定した。
昨年10月、フェイスブックとその子会社であるWhatsAppは、カリフォルニア州でソフトウェア開発会社とその関連会社であるQサイバーテクノロジーズを提訴し、両社がWhatsAppユーザーのスマートフォンに遠隔感染し、乗っ取り、データを抜き取る「ペガサス」と呼ばれる監視ソフトウェアを開発、配布、運用していたと主張した。
NSOグループはその後、ハッキング訴訟の却下を求める申し立てを行い、顧客が政府であるため米国では訴えられないと主張した。同ソーシャルネットワークは先週、主権免除の概念は外国政府のために働く請負業者には適用されず、NSOのソフトウェアはロサンゼルスに拠点を置く通信サービスプロバイダーQuadraNetが提供するサーバーに依存していると主張して反論した。
NSOは今週木曜日にカリフォルニア州の裁判所に提訴し、これらの主張に異議を唱えた。同社の広報担当者は、裁判所への提出書類とNSOグループCEOのシャレブ・フリオ氏の宣誓供述書を併せて提出することで、Facebookの弁護士による「誤解を招くような主張」が払拭されるはずだと述べた。
「これらの主張の一つは、カリフォルニアに拠点を置く通信会社QuadraNetに関連しています」とNSOの広報担当者は電子メールで声明を発表した。「裁判所で主張したように、NSOグループもQ CyberもQuadraNetと契約を結んだことはありません。」
ヒューリオ氏は声明の中で、「どちらの被告(NSO または Q Cyber)も、QuadraNet といかなる契約も締結したことはない」と述べた。
WhatsAppのセキュリティマネージャーであるClaudiu Gheorghe氏は以前の提出書類で、QuadraNetが提供し、NSOが運営しているとされるカリフォルニアのサーバー、IPアドレス104.223.76.220からWhatsAppへの悪意のある攻撃を720件特定した。
QuadraNet 社は、その IP アドレスのアカウント所有者を明らかにするよう求めるThe Register社の要請に直ちには応じなかった。
NSOの広報担当者は、同社は顧客のためにPegasusソフトウェアを運用していないという主張を繰り返した。また、同社の法的提出書類にも同様の記載がある。「もしPegasusのメッセージがQuadraNetサーバーを通過していたとしたら、それはNSOではなくNSOの顧客から送信されたものだったはずだ」
スパイウェアメーカーNSOは免責を主張できないとFacebookの弁護士は主張。責任を問う時が来た
続きを読む
NSOの最新の申し立てでは、Facebookが免責の可能性を誤って否定したと主張している。免責法は政府にのみ適用されるものの、NSOは2000年の判例(バターズ対ヴァンス)に基づき、「派生的な主権免責を受ける権利がある」と主張している。この判例では、第4巡回区控訴裁判所がサウジアラビアの民間代理人に派生的な免責が認められるとの判断を示している。
「(FacebookとWhatsAppは)ペガサスを使ってWhatsAppユーザーにメッセージを送信したとされる行為に異議を唱えているが、これは完全に外国の国家によって行われたものだ」とNSOの書類には記されている。「原告側の理論によれば、訴訟原因が政府による製品の使用に基づく場合、政府に商品やサービスを提供する者を処罰することになる。しかし、サプライヤーはツールを開発したとしても、必要に応じて使用できるように政府によるツールの維持管理を支援したとしても、派生的免責を剥奪されることはない。」
スヌープウェアメーカーである同社は、WhatsApp経由でメッセージを送信する権限を持っていたため、米国のコンピュータ詐欺および濫用防止法(CFAA)に違反したことはないと主張している。そのメッセージは、被害者のデバイスにマルウェア「ペガサス」をインストールするための罠が仕掛けられていただけだった。CFAAは不正アクセスのみに適用され、悪意のあるコンテンツには適用されないと同社は主張している。
「原告は、NSOがWhatsAppメッセージのフォーマットを変更し、WhatsAppがユーザーに送信させたくないデータを隠すと主張している」と訴状には記されている。「しかし、NSOはメッセージ送信の権限を有していたため、メッセージの内容に関するWhatsAppの制限に違反したとしても、それはWhatsAppのサーバーへの無許可アクセスには当たらない」
さらに同社は、技術的制限の回避はCFAA違反には当たらないとも主張し、hiQ LabsがLinkedInがウェブスクレイピングを阻止するために導入した技術的制限を回避した方法に自社の行為を例えている。第9巡回控訴裁判所は昨年、ウェブスクレイピングはCFAAの不正アクセスの定義を満たさないとの判決を下した。
「NSOが行ったとされる行為は、WhatsAppのサーバー経由で誤った種類のメッセージを送信しただけであり、これはCFAA違反ではない」と訴状には記されている。
Facebookは、NSOが「サーバー側の通話設定にアクセスし、サーバー経由で通話をルーティングする技術アーキテクチャを変更した」と主張しているが、これは最初の訴状には記載されていなかったため、考慮されるべきではないと、スパイウェア業界の申し立てでは主張されている。
さらに、FacebookはNSOが「米国にWestBridge Technologies, Inc.というマーケティング・販売部門を持っている」と主張していたが、NSOはこれを否定している。イスラエルに拠点を置く同社は、メリーランド州に拠点を置き、米国政府機関に販売を行う販売・マーケティング会社WestBridgeに対する支配権は行使していないと主張している。また、NSOとQ Cyberの現取締役はいずれも米国在住ではない。
つまり、NSO は米国に拠点がなく、米国には経営陣も営業部門もなく、米国の IT サービスも使用していないと言っているのに、米国カリフォルニア州で訴えられるのはなぜでしょうか?
Facebookは進行中の訴訟についてコメントを控えた。®
