更新されたFacebookとその子会社WhatsAppは火曜日、イスラエルを拠点とするスパイウェアメーカーが人気のチャットアプリの脆弱性を利用してスマートフォンを違法にハッキングしたとしてNSOグループを提訴した。
サンフランシスコの米国地方裁判所に提出された訴状[PDF]は、5月に公表され、ソフトウェアアップデートで阻止されたWhatsAppユーザーへのサイバー攻撃についてNSOを非難している。
NSOグループは、「ペガサス」と呼ばれるスヌープウェアを開発している。同社は、標的の携帯電話やデバイスに密かに感染し監視するこのソフトウェアを、テロ対策を目的とした政府機関や諜報機関にのみ販売していると主張している。しかし、人権団体は、同社が弁護士、反体制派、活動家、ジャーナリスト、その他の人権擁護活動家に対して監視コードを公開していると非難している。
したがって、今回の事件において、NSOグループは謎の顧客(少なくとも複数)のために人々のガジェットに侵入したと考えられています。これは、政府のスパイや警察が国民や他国の国民を盗聴している状況を想像してみてください。標的には、世界中に散らばる外交官、政府関係者、軍関係者、ジャーナリスト、人権活動家などが含まれていたと言われています。
WhatsAppはウェブサイトへの投稿で、CVE-2019-3568を悪用し、ユーザーの介入なしにモバイル機器を侵害するハッキングが、少なくとも100人の民間社会のメンバーを含む合計1,400人を標的にしたと述べた。
暗号化メッセージングプロバイダーが、ユーザーに対してこの種の攻撃を行った民間企業に対して法的措置を取るのは初めてである。
「訴状によると、NSOグループは米国法とカリフォルニア州法の両方に加え、この種の不正行為を禁じるWhatsAppの利用規約にも違反したとされています」と、チャットアプリ開発会社は説明した。「暗号化メッセージングプロバイダーが、ユーザーに対してこの種の攻撃を行った民間企業に対して法的措置を取るのは今回が初めてです。」
訴状によると、NSOグループはWhatsAppをリバースエンジニアリングし、一見正当なWhatsAppネットワークトラフィックを生成して、同アプリがインストールされている標的のスマートフォンを乗っ取るプログラムを開発した。スパイウェア開発者は、Choopa、Quadranet、Amazon Web Servicesなど、世界中の様々な企業からリースしたサーバーを利用して、グループのマルウェアを拡散させる通話を開始するためのWhatsAppアカウントのネットワークを構築したとされている。
具体的には、NSOグループは悪意のあるコードを仕込んだ通話開始メッセージを作成したとされています。通話が応答されたかどうかに関わらず、開始メッセージには特別に細工されたデータが含まれており、アプリケーションがこれを受信して解析すると、バッファオーバーフローのバグを悪用し、密輸されたコードを標的の携帯電話で実行させました。これにより、NSOグループは携帯端末への足掛かりを得て、人々の行動を盗聴し始めたと主張されています。
さらに、開始メッセージはWhatsApp自身のサーバーから届いたように見せかけるように細工されていたとされている。この悪用は4月29日に始まり、5月10日までに停止したとみられている。
「被告らは通話設定を装い、悪意あるコードを標的デバイスに配信し、あたかもWhatsAppシグナリングサーバーから発信されたかのように見せかけた」と訴状は述べている。「被告らの通話が標的デバイスに配信されると、標的ユーザーが通話に応答しなかった場合でも、被告らは標的デバイスのメモリに悪意あるコードを注入した。」
裁判所の提出書類によると、ワシントンD.C.の市民社会の少なくとも1人が標的にされたことが示唆されている。被害者の編集された電話番号には、判読可能な3桁の数字、つまりコロンビア特別区の市外局番202が含まれている。その他の標的は、北米に加え、ヨーロッパ、アジア、アフリカ、中東にも及んでいるとみられる。
訴状によると、NSOグループとその関連会社であるQサイバーテクノロジーズは、米国のコンピュータ詐欺および濫用防止法およびカリフォルニア州包括的コンピュータデータアクセスおよび詐欺防止法に違反したほか、合意されたポリシーにも違反し、ネットワークに侵入したという。
2019年、WhatsApp通話で電話がハッキングされる:ゼロデイ脆弱性がモバイルにスパイウェアを感染させる
続きを読む
WhatsAppの責任者ウィル・キャスカート氏は、ワシントン・ポスト紙に寄稿した論説兼声明の中で、今回の事件は、テクノロジー企業がセキュリティシステムを意図的に弱体化させるべきではない理由を浮き彫りにしたと述べた。「『バックドア』やその他のセキュリティ上の脆弱性は、あまりにも大きな危険をはらんでいる」と同氏は述べた。
テクノロジー大手は人権保護のために更なる努力を払う必要があり、互いへの攻撃を避けなければならないと、彼は述べた。また、国連表現の自由特別報告者デイビッド・ケイ氏が呼びかけた監視技術の一時停止の要請を支持した。これには顔認識技術も含まれており、WhatsAppの親会社であるFacebookは、この技術を否定する準備ができていない。
カナダのトロント大学マンク国際問題・公共政策大学院のサイバーセキュリティ研究グループであるCitizenLabは、WhatsAppの訴えは、同社や同様の人権団体が過去に提起してきた懸念を裏付けるものだと述べた。しかし、この問題の解決は容易ではないと同グループは述べている。
「現状では、NSOグループをはじめとするスパイウェア企業は、抑圧的な政府に対し、責任を問う者を監視するための強力なツールを提供している」と、CitizenLabはWhatsApp攻撃に関する声明で述べた。「このような強力な監視技術が自由に利用されれば、隠れる場所はなく、危害を加えようとする者から誰も安全ではいられなくなる。この重大な公共の緊急事態に早急に対処しなければ、世界中の自由民主主義と人権が脅かされることになる。」
先月「新たな人権政策とガバナンスの枠組み」を発表したNSOグループは、コメント要請に応じなかった。®
追加更新
この記事が公開された後、NSOグループは声明で次のように述べました。
