NEW
ロゴとアプリ版リニューアルのお知らせ
こっそりスマホの情報を強奪、暴かれた「スパイウェア」の脅威

こっそりスマホの情報を強奪、暴かれた「スパイウェア」の脅威

  • JBpress
  • 更新日:2021/07/23
No image

2018年10月2日、在トルコ・サウジアラビア総領事館でサウジアラビアの暗殺部隊によって殺害されたジャーナリスト、ジャマル・カショギ氏。カショギ氏周辺の人物のスマホも、スパイウェア「ペガサス」のターゲットになっていたという(写真:AP/アフロ)

(山田敏弘・国際ジャーナリスト)

イスラエルの悪名高いスパイウェア(監視システム)が大きなニュースになっている。

7月19日付けのAPF通信(日本語版)によれば、「イスラエルの民間企業NSOグループが開発した携帯電話向けマルウェア(悪意のあるソフトウェア)が、世界中の人権活動家やジャーナリスト、企業経営陣、政治家らの監視に使われていたことが18日、流出した5万件超の携帯電話番号リストをめぐる国際的な調査報道で明らかになった」という。

[JBpressの今日の記事(トップページ)へ]

5万台以上のスマホが監視下に

NSOグループが開発したのは「ペガサス」と名付けられたスパイウェア。同グループはこれを世界の国や法執行機関などに販売してきた。ペガサスは、その“性能”の高さから世界のサイバーセキュリティやインテリジェンス専門家の間では非常に有名なソフトウェアである。

報道によれば、その実態の一部を明らかにした今回の調査報道は、アムネスティ・インターナショナルの助言を受け、米ワシントン・ポスト紙や英ガーディアン紙、仏ルモンド紙などが協力して実施したもの。そこでペガサスを導入した各国によって、少なくとも5万台以上のスマートフォンが監視されていたことが判明した。

これを報じたワシントン・ポスト紙(https://www.washingtonpost.com/investigations/interactive/2021/nso-spyware-pegasus-cellphones/)によると、今回の調査で、NSOが世界各国に販売したペガサスで、世界50カ国以上で1000人以上の人たちが監視されていたことを特定したという。

「幾人かのアラブ系王族や企業エグゼクティブ65人以上、人権活動家85人、189人のジャーナリスト、閣僚や国家元首、首相たち、外交官や軍や公安部門の幹部を含む政治と政府関係者600人以上が含まれていた」

筆者は、サイバー攻撃やスパイ工作をテーマに取材する過程で、このスパイウェアについても何年も前から動向を注視してきた。本記事では、日本ではあまり知られていないスパイウェアの実態をまとめてみたいと思う。

スパイウェアがあればスマホのマイクは盗聴器に、カメラは監視カメラに

筆者が取材してきた国際機関の関係者や情報機関関係者らが口を揃えるのは、ペガサスが非常に優れた監視ソフトだということだ。民間のソフトウェアとしては最強だと言ってもいいかもしれない。

このシステムは、スマホなどにたやすく潜入することができ、通話やメールだけでなく、位置情報や連絡先、カレンダーに至るまで、すべての個人データを収集し、監視することが可能になる。さらには、スマホのマイクやカメラの機能を乗っ取って勝手に操作し、盗聴器や監視カメラのような監視ツールとして使うこともできるという。しかも驚くことに、そうした工作の形跡を一切残さないとも言われている。

No image

*写真はイメージです

それだけに価格も非常に高価である。まず、50万ドルという一律の設置料金に、監視ターゲット1人につき料金が加算される仕組みだ。例えばiPhoneユーザー10人の監視をするなら、追加で65万ドルが請求されることになる。アンドロイドのスマホを使うターゲットも10人で65万ドルほどと言われている。さらに維持費として、年間に支払っている金額の17%を支払う必要があるという。ペガサスを導入していたメキシコ政府は、8000万ドルほどをNSOグループに支払っていたと明らかになっている。

NSOグループは、2010年にイスラエルで設立されている。イスラエル軍でサイバー作戦を担う「8200部隊」の関係者による資金援助などで立ち上がった同社は、イスラエルの大都市テルアビブに近いヘルツリーヤという地域に本社を構えている。

筆者は以前、別のセキュリティ関係者を訪問するためにヘルツリーヤを訪れたことがあるが、海沿いに広がる綺麗な地域で、商業コンプレックスが数多くあった。サイバーセキュリティ関連企業が多いエリアとしても知られている。

NSOグループのパンフレットによれば、「NSOはサイバー戦争の分野をリードする企業」とされ、サイバー防衛だけでなく攻撃的なサイバー攻撃で当局の技術的な側面を支える、と喧伝している。つまり、サイバー攻撃やハッキングなども行う、という意味だ。

サイバー攻撃というのは、その9割以上が、電子メールから始まると言われる。ペガサスの監視システムによるサイバー攻撃も例外ではなく、電子メールから始まることが多い。

明らかになっているその手口によれば、ターゲットになった人のスマホに、まずは知り合いを装って電子メールやSMS(ショートメッセージ)を送る。そしてメールやSMSに貼り付けられたリンクをクリックさせたり、添付ファイルを実行させたりする。それだけで、そのスマホを乗っ取ることができるのだという。

成功率も高いという。友人や知人、家族などを装ってメールやSMSを送ってくるから、サイバー攻撃の罠が仕掛けられたこの「偽メッセージ」が怪しいと思われることはまずない。受信者は添付写真やリンクを、疑うことなくクリックしてしまうのだ。

スパイウェアの販売先は厳格に選別されているというが・・・

もちろんこのサイバー攻撃が無差別に行われるようなことになれば、倫理的、人権的に大きな問題となる。

NSOは、スパイウェアを売却する相手を厳格に選別しているとし、売却先は基本的に政府または各国の捜査当局や情報機関などに限定している、と主張する。さらに、契約時には監視対象をテロ集団や犯罪組織に限るよう約束させているとしている。

だが、「実際には制限は行き届いていない」との批判も多い。なにしろ、ペガサスを導入した国が、真っ当なジャーナリストのことを「あいつはテロリストだ」と言ってしまえばそれまでである。事実、先に触れたメキシコもジャーナリストを監視対象にしていた。

サウジが暗殺したカショギ氏周辺もペガサスの標的に

サウジアラビア政府もNSOの顧客だ。サウジ政府は、2018年に政府に批判的な記事を書いていたワシントン・ポスト紙のジャマル・カショギ記者を、トルコのサウジ総領事館で暗殺したことで国際的に批判を浴びた。ペガサスはこの事件でも暗躍した。サウジ政府は、ペガサスを使ってカショギ氏殺害の数カ月前からカショギ氏の関係者などのスマホを監視のターゲットにしたという。またカショギ氏殺害の数日後には、カショギ氏の婚約者のスマホがペガサスに感染させられていたことも判明している。さらに、ワシントンポスト紙のオーナーであるアマゾン元CEOのジェフ・ベゾスのスマホも監視されていた。

No image

2019年10月、カショギ氏の一周忌の追悼式典に出席したカショギ氏の婚約者ハティージェ・センジスさん(右)とワシントン・ポストのオーナーであるアマゾン創設者のジェフ・ベゾス。二人のスマホも「ペガサス」により監視されていたという(写真:AP/アフロ)

ちなみに世界には、NSO以外にもスパイウェアを販売している企業がある。イギリスには、ガンマ社という企業が「フィンフィッシャー」というスパイウェアを販売しているし、イタリアにはハッキングチーム社(現在は社名を変更して活動しているとみられている)が同様のスパイウェア「ガリレオ」を提供してきた。このハッキングチーム社は、2015年に同社の電子メールがハッキングされて漏洩し、同社の顧客情報などが漏れてしまうという笑えない騒動を起こしている。

これにより同社の信用は失墜した。ちなみに当時の顧客には、ウガンダ、ウズベキスタン、エチオピア、オマーン、カザフスタン、サウジアラビア、スーダン、ナイジェリア、ハンガリー、ベネズエラ、マレーシア、ロシアといった国々の情報機関が含まれていた。特に独裁色の強い国家に重宝されていた。

しかし顧客はそればかりではなかった。CIA(米中央情報局)やDEA(米麻薬取締局)、スペインの情報機関であるCNI(国家情報センター)、シンガポールのIDA(情報通信開発庁)、そして韓国の国家情報院もシステムを購入していたのだ。ドイツの民間銀行や、イギリスの通信会社も導入していたと指摘されている。

実は日本の情報機関も、このサイバー攻撃による監視システムの導入を検討していたことが判明している。公安調査庁は2015年、庁内でこのスパイウェア商品のデモンストレーションをハッキングチーム社から受けていたことが明らかになっている。ただし予算や法律に問題があったようで、実際には導入に至らなかったそうだ。

それでもこのスパイウェアに興味を示し、実際にそれを目にしたというのは情報機関としては正しい動きだったと言えるだろう。どんなスパイウェアが世の中にあるのかを知るのは有益だからだ。

スパイウェアへの対策が不可欠な時代に

筆者の知人に、これらのスパイウェアのデモンストレーションを間近で見たことがあるという人物がいる。その人によれば、目の前であっという間に説明を受けている側のスタッフの電子メールの内容などが丸裸にされたという。とんでもないシステムだと、この人物は評していた。

とにかく、これらの監視システムは、強権国家の手に渡れば、人権を無視して悪用される可能性が高い。だからこそ、世界の人権団体や報道機関が調査を行なって動向をチェックしてきた。

今回の調査報道によって、スパイウェアの実態が広く世界に知られることになった。しかしデジタル化が進む世界では、われわれの個人情報や生活の実態は、スパイウェアと“悪意”とを併せ持つ何者かがいれば簡単に丸裸にされ、監視まで容易になる。

5G(第5世代移動通信システム)が普及すれば社会のデジタル化はいっそう進む。その前に、こうしたスパイウェアに関しては、個人レベルでも政府レベルでも、何らかの対策が必要になるだろう。

山田 敏弘

この記事をお届けした
グノシーの最新ニュース情報を、

でも最新ニュース情報をお届けしています。

外部リンク

  • このエントリーをはてなブックマークに追加