2022年から2023年にかけて、欧州議会のPEGA委員会は、NSOグループのPegasus技術を各国政府が展開していたことを暴いた報道を受け、欧州連合(EU)域内で発生したスパイウェア悪用の実態調査を行いました。
それから数年が経過した今、当時の調査委員会メンバーの一人がPegasusスパイウェアの標的にされていたことが明らかになりました。
トロント大学のCitizen Labは金曜日に公表した報告書の中で、PEGA委員会の代理メンバーを務めたギリシャ人ジャーナリストで元欧州議会議員のステリオス・クログル氏のスマートフォンからPegasusを検出したと明らかにしました。同委員会のメンバーがPegasusの被害者であると公に特定されたのは、これが初めてです。
クログル氏にとって、Pegasus感染は驚くべき事態でした。一方、別のPEGA委員会メンバーにとっては、時期こそずれたものの、十分予想された展開でした。そしてCitizen Labにとっては、皮肉としか言いようのない出来事でした。
いずれの立場から見ても、この一件はスパイウェアの悪用を防ぐためにやるべきことがまだ数多く残っていることを示す証拠となりました。たとえば、PEGA委員会が最終報告書でまとめた提言は、欧州議会で一度も実行に移されていません。
クログル氏がCyberScoopに語ったところによると、2022年にPEGA委員会に加わる前、自身のスマートフォンに対してセキュリティテストを実施していたため、委員会メンバーとなった後に誰かが自分のスマートフォンへの侵入を試みるほど大胆な行動に出るとは考えていなかったといいます。ギリシャによるPredatorスパイウェアの利用が問題視されている状況を踏まえ、もし委員在任中にハッキングされていたことが判明すれば「大スキャンダルになるだろう」と同氏は述べています。
しかし、Citizen Labの調査では誰の仕業かまでは特定できなかったものの、クログル氏のスマートフォンは2022年10月頃と2023年3月頃の2回にわたりPegasusに感染していたと、調査担当者は「高い確度」で結論づけました。
1回目の感染が起きた時期、委員会は重要な公聴会と報告書の初稿の準備を進めている最中でした。当時クログル氏は入院中で、以前委員会で証言を行い、自身もかつてスパイウェアに感染した経験を持つ別のギリシャ人ジャーナリストの見舞いを受けていました。スパイウェアには感染したスマートフォンを通じて音声を傍受する機能があることを踏まえると、この感染が医療データの保護規定に抵触していた可能性もあります。
2回目の感染が起きた時期についてCitizen Labは、委員会がさらなる公聴会の準備を進めるとともに、「最終報告書の起草作業をめぐって集中的な議論を行っていた」と説明しています。
クログル氏に対するCitizen Labの調査は今年5月に始まりました。同氏が調査報道や「今週のスキャンダル」というコラムの執筆を手掛けていた折、知り合いの弁護士からスマートフォンのデータを同研究機関に送る方法があると教えられたのがきっかけだったといいます。同氏は「『やらない理由はない、やってみよう』と思った」と話しています。
PEGA委員会に所属する欧州議会議員(ドイツ選出)のハンナ・ノイマン氏によると、クログル氏のスマートフォンへの侵入を仕掛けた何者かは、委員会の活動における「重要な局面」を狙って犯行に及んだといいます。
同氏はCyberScoopに対し、次のように語っています。「委員会の活動期間中に何らかのハッキングが起きるだろうと、私たちの多くは予想していました。それでも、実際に起きていたと分かった今、なおやりきれない思いです。PEGA委員会の設置を決めた際、私たちは欧州議会の内部IT security部門と密に連携し、委員会メンバーとそのスタッフに対してスパイウェアの検査を提供できる体制を整えるべく尽力しました」
クログル氏とノイマン氏は、誰が関与していたのかについて推測することしかできませんでした。しかし2人にとって、そしてCitizen Labにとっても、その動機は明白であるように思われます。
Citizen Labの創設者兼ディレクターであるロン・ダイバート氏は次のように述べています。「Pegasusの調査を担う委員会のメンバー自身がPegasusスパイウェアの標的にされていたというのは、皮肉としか言いようがありません。何者か、どこかにいる人物が、議会特権を侵害し、その委員会内で何が議論されているのかを探ろうとしたのはほぼ間違いないでしょう。この事例は、いまだに規制の手が及ばず悪用が横行している傭兵型スパイウェア産業が、民主主義のプロセスをいかに蝕んでいるかを物語っています」
クログル氏は、NSOグループを相手取った法的措置を進める意向を示しています。スパイウェアの被害者の多くは、スパイウェア製造企業を相手にした訴訟で勝訴するのに苦戦してきましたが、すべてがそうだったわけではありません。
イスラエルを拠点とするNSOグループは、木曜午後の時点でコメント要請に応じていません。
ノイマン氏は、クログル氏のスマートフォン感染から得られた教訓として、「各国議会や欧州議会の議員に向けて言えるのは、定期的に自分の端末をチェックしてもらう必要があるということです。どうやら彼らは、欧州の民主主義や議会制度を尊重していないようですから」と述べています。
そして何よりも重要なのは、PEGA委員会の提言を今こそ実行に移すことだと同氏は指摘しています。
「加盟国と欧州委員会が目を覚まし、私たちのPEGA委員会がまとめた非常に優れた提言を実際に実行に移すまで、一体あとどれだけのことが必要なのか分かりません。スパイウェアの悪用が存在することは、誰もが分かっているのですから」とノイマン氏は述べています。「そのために新たな委員会を作る必要はありません。ただ、行動を起こしてもらいたいだけです」
Citizen Labの上級研究員を務めるジョン・スコット=レイルトン氏によれば、クログル氏がスパイウェア被害に遭った議会関係者として最後になる可能性はほぼないといいます。PEGA委員会の活動以前に感染していた議員もいれば、その後も標的にされていたことが判明した議員もいるとのことです(なお、米国の議会もこれまでに標的にされたことがあります)。
同氏はCyberScoopに対し、次のように語っています。「説明責任を果たさず、しばしば倫理観を欠く傭兵企業が提供する監視ツールを、極めて秘密主義的な政府機関に供給するというのは、権力の乱用を招く典型的な構図です。この先どのような展開になるかは容易に想像がつきます。ハッキングされる議会関係者がさらに増えるでしょう。実際、自分のスマートフォンがポケットの中のスパイに変えられていることなど知らないまま、投票を行い、ハイレベルな会議に出席している議員がいるのではないかと私は疑っています」
翻訳元: https://cyberscoop.com/pegasus-spyware-pega-committee-member-targeted/