自己中心的なスタートアップのボスや退屈な企業で働くのにうんざりしていませんか?テックラボという新しい組織が提案されています。そこでは、政府による国民への最悪の監視行為を調査できます。どこの独裁国家?とお思いですか?なんと、ヨーロッパのどの都市でも拠点にすることができます。
EUの欧州議会議員らは、いわゆるPEGA委員会が1年以上かけてペガサスや同等のスパイウェアの使用を調査した後、昨夜発表された報告書に含まれる他の一連の勧告とともに、この公的機関を立ち上げたいと考えている。
提案されているEUテックラボに雇用されるIT担当者は、デバイスのスクリーニングとフォレンジック調査(おそらく脆弱性エクスプロイトのテストも含まれる)を担当することになります。弁護士と技術サポートスタッフも雇用される予定です。委員会は、脆弱性の発見、共有、解決、そして悪用(システム欠陥の「商業取引」)を規制する新たな法律の制定を求めています。報告書[PDF]は、システムのセキュリティ強化以外の目的でのシステムの脆弱性の販売を禁止するよう求めています。この規制は、スパイウェアメーカーの1社が行う場合、購入者側で行われると推測されますが、どのように規制するのかは不明です。委員会に問い合わせましたが、難しい提案のように思えます。
また、公的機関と民間企業の両方に対し、脆弱性を標準化された方法で開示できる公開窓口を設置すること、そしてシステムの脆弱性に関する情報を受け取った組織が直ちに修正措置を講じることを求めています。例えば、その窓口を利用してデバイスにスパイウェアを仕込むようなことは避けるべきです。そうですよね?
4月、Citizen LabとMicrosoftは、イスラエルのスパイウェア企業QuaDreamが開発したとされるゼロクリックエクスプロイト「Reign」が、被害者のiOS 14搭載デバイスにスパイウェアを配信するために使用されたと報告しました。研究者によると、このエクスプロイトはiOSのカレンダーアプリを悪用し、スパイウェアがデバイスに侵入してデータを盗み出すというものでした。
1年かけて作り上げた
この報告書は、加盟国がスパイウェアを用いて政治的反対派を脅迫し、批判的なメディアを沈黙させ、選挙を操作した疑いが浮上したことを受けて開始された1年間にわたる調査をまとめたものです。NSOの監視スパイウェア「ペガサス」の標的とされたのは、実業家、政治家、法執行機関、外交官、弁護士、市民社会関係者などです。報告書は、EUの統治構造が「このような攻撃に効果的に対処できない」ため、改革が必要だと述べています。
この文書とその勧告は、6月に議会の厳しい審査を受ける必要がある。委員会の採決は拘束力を持たない。執行部は今のところこの件に介入しておらず、報告書が採択されるか否かに関わらず、スパイウェアの使用は依然として各国の情報機関のツールキットに深く根付いていることは明らかだ。決議案は、この点に関していくつかの規則を課そうとしている。提案されている規則では、スパイウェアの使用は「スパイウェアの悪用疑惑が徹底的に調査され、国内法がヴェネツィア委員会、EU司法裁判所、欧州人権裁判所の判例法に準拠し、ユーロポールが捜査に関与し、輸出管理規則に準拠しない輸出許可が廃止されている」EU加盟国でのみ認められることになる。
彼らは、政府が「独立した監視メカニズムを解体」したハンガリーとポーランドに特に注目した。また、欧州議会議員らは、スペインとギリシャにおけるスパイウェアの使用についても「懸念」を示し、キプロスが「スパイウェアの輸出拠点として大きな役割を果たしてきた」と指摘した。欧州議会議員らは、キプロスに対し、EU法に違反する輸出許可をすべて取り消すよう求めた。
輸出といえば、プライバシー・インターナショナルが先週末に発表した報告書[PDF]によると、英国は民間諜報産業のオフショア避難所となっている。ただし、この文書では、例えばIMSIキャッチャーのメーカーやスパイウェアの提供者だけを取り上げているのではなく、企業の諜報機関やいわゆる「評判管理」ゲームに携わる人々も対象としている。
「真に責任を問われた政府は一つもない」
報告者のソフィー・イント・フェルト氏は、EU委員会の報告書について次のように述べた。「加盟国と欧州委員会は安心して眠ってはならない。なぜなら、私は正義が実現するまでこの事件を追及し続けるつもりだからだ。」
彼女はさらにこう付け加えた。「スパイウェア悪用の被害者は誰一人として正義を認められていない。真に責任を問われた政府は一つもない。」
適切な司法の監視なしに商用スパイウェアが無制限に使用されることは、説明責任が果たされない限り、欧州の民主主義にとって脅威となります。デジタルツールは私たち全員に様々な形で力を与えてきましたが、政府の権力をはるかに強めてしまいました。私たちはこのギャップを埋めなければなりません。
委員会のジェルーン・レナーズ委員長は、報告書が加盟国によるスパイウェアの使用を依然として容認していることを指摘し、「スパイウェアの使用が重大犯罪の捜査のための例外的なものであり、常態化させないよう、EUレベルでより厳格な監視が必要です。なぜなら、スパイウェアは、適切に管理された方法で使用される場合、テロなどの犯罪と戦うための重要なツールとなり得ることを我々は認識しているからです」と述べた。さらに、「当委員会は、国家安全保障上の権限を尊重しつつ、スパイウェアの使用を規制するための幅広い提案を策定しました」と付け加えた。
カーネギーが2011年から2023年にかけて収集した商用スパイウェアとデジタルフォレンジックの世界規模の調査データによると、世界の政府のうち少なくとも74カ国がスパイウェアまたはデジタルフォレンジック技術の入手のために民間企業と契約していた。
- スパイウェア業者QuaDreamの終焉の報道は炭鉱のカナリアかもしれない
- 新たなゼロクリックのAppleスパイウェアメーカーが再びレーダー上に現れた
- バイデン大統領は米国政府による商用スパイウェアの使用をほぼ禁止している
- フィンフィッシャースパイウェアの最新アップグレードは「特に心配」とカスペルスキーは言う
EUによる今回の措置は、アラブの春の蜂起で中東諸国の政府が崩壊し、商用スパイウェアベンダーによる特定の行為が明るみに出てから実に8年が経った、長年の待望の措置だった。同年、元欧州データ保護監督官(EDPS)のジョバンニ・ブッタレッリ氏は、加盟国が規制を怠れば、商用スパイウェアの取引が欧州市民のプライバシー権とデータ保護権の両方を侵害する可能性があると警告した。しかし、仮にこれらの規制が導入されたとしても、拘束力はない。
ジョー・バイデン大統領が3月に「国家安全保障にリスクをもたらす商用スパイウェアの米国政府による使用」を禁止する大統領令に署名したことから、米国では規制が適切に行われていると思うかもしれません。しかし、その名称と限定語をもう一度読んでみてください。当時私たちが報じたように、付随する法案は見た目通り穴だらけになりそうです。
アラブの春がいかにして商用スパイウェアの実態を暴いたか
続きを読む
委員会は決議案の作成に尽力したようだが、欧州各国政府、特に既に規則に違反している国々が、完全に遵守する可能性は極めて低いように思われる。一部の指摘にあるように、安全保障機関の活動は、国家予算にそのようなツールへの資金提供さえ明記されておらず、配備の事実すら明記されていないため、なおさらだ。NSAがアンゲラ・メルケル首相の携帯電話に盗聴器を仕掛けたとされ、ドイツが直ちに調査を取り下げたことを思い出してほしい。目に見えないものに、どうやって対抗できるというのだろうか。
スパイウェアの悪用に関しては、厳格な条件が満たされた場合のみスパイウェアの使用を許可するだけでなく、国家安全保障の統一的な定義も必要だと委員会は述べた。まさにその通りだ。®
