欧州議会の元議員のスマートフォンが標的にされ、Pegasusスパイウェアの悪用実態を調べる欧州議会の委員会に在任していた期間中に複数回にわたり感染していたことが、金曜日に公表された報告書で明らかになりました。
Citizen Labのデジタルフォレンジック研究者らは報告書の中で、Stelios Kouloglou氏のスマートフォンが強力なゼロクリック型スパイウェアであるPegasusに2022年10月と2023年3月の2度にわたり感染したと指摘しています。
この感染が起きた当時、Kouloglou氏も名を連ねていたいわゆる「PEGA委員会」は、欧州で蔓延する商用スパイウェアの悪用に対処するための勧告策定に向けて、機微な作業を進めている最中でした。
PEGA委員会は2023年5月に勧告を公表しましたが、欧州委員会はこれをほとんど無視してきました。Citizen Labの研究者John Scott-Railton氏をはじめ、多数の政治家や専門家がこの対応を「言語道断」だと批判しています。
「この話の次の章がどうなるか、私にはわかっています。さらに多くの議員がハッキングされることになるでしょう。今この瞬間も、ポケットの中のスマートフォンがスパイの道具に変えられていることに気づいていない欧州議会議員がいるはずです」と、Scott-Railton氏はインタビューで語りました。
長年調査報道記者としても活動してきたKouloglou氏は、Recorded Future Newsの取材に対し、ギリシャ政府がこのハッキングに関与していると考えていると述べました。一方でCitizen Labは、それを裏付ける兆候はないとしています。Kouloglou氏は2015年から2024年までギリシャ選出の議員を務めていました。
ギリシャは以前からスパイウェアを巡るスキャンダルに揺れてきましたが、その際に使われた技術はPegasusを開発したNSO Groupではなく、Intellexa社が製造したものでした。
NSO Groupの広報担当者はコメント要請に応じませんでした。商用スパイウェアの開発企業は一般に、自社製品の用途を犯罪捜査やテロ対策活動などに限定していると主張しています。
他の事案との関連性
Citizen Labは、2022年のKouloglou氏の事案と、同団体が2024年5月の報告書で明らかにした一連のスパイウェア感染事案の背後に、同一のPegasus顧客がいると見ています。後者の事案は、2020年8月から2023年1月にかけて、ロシア語およびベラルーシ語を話す7人のジャーナリストや反体制活動家の端末が攻撃されたものです。
さらに、Kouloglou氏への攻撃に使われたものと同じメールアドレスが、同じ時期のベラルーシ・ロシアへの攻撃でも使用されていたと、Citizen Labは述べています。
標的への攻撃に使われるメールアドレスは、それぞれの運用者ごとに固有のものであるとCitizen Labは説明しており、これはKouloglou氏へのハッキングの背後にいる政府が、ベラルーシ・ロシアへのハッキングにもほぼ間違いなく関与していることを意味すると報告書は指摘しています。
報告書によれば、複数国での攻撃を許可するライセンスを保有するPegasus顧客はごく一部に限られており、これにより関与し得る国の範囲はかなり絞り込まれるとしています。
Kouloglou氏は2026年5月、自身のスマートフォンをCitizen Labに持ち込み、調査を依頼しました。報告書によると、Scott-Railton氏らはKouloglou氏がこれまでにApple社からスパイウェアの可能性を警告する脅威通知を3回受け取っていた証拠を発見しましたが、本人はそれらの通知を一度も見たことがなかったといいます。
「完全な無視」
欧州議会議員のスマートフォンがスパイウェアに感染した事例はこれまでにもありますが、今回はPegasusを調査する委員会のメンバー自身が被害に遭ったという点で、スパイウェアが民主主義に対する脅威であることを改めて浮き彫りにしていると、PEGA委員会の交渉担当も務めたドイツ緑の党所属のHannah Neumann氏は述べています。
関与した国は「スパイウェアの悪用を調査していた最中の欧州議会議員をスパイした」とNeumann氏はインタビューで指摘しました。「これは、議員が監視・監督という役割を果たすこと、ひいては欧州の民主主義そのものに対する、完全な無視を示しています」。
Kouloglou氏のスマートフォンに対する最初のスパイウェア攻撃は、PEGA委員会が慌ただしく動いていた時期に発生しました。攻撃が仕掛けられたのは一連の公聴会の1週間足らず前で、委員会が報告書草案の公表準備を進めている最中でもありました。
Citizen Labによれば、Kouloglou氏のスマートフォンが2度目に攻撃された時期も、最終報告書を巡って委員会メンバーの間で激しい議論が交わされていたタイミングと重なっていたといいます。
Neumann氏は、欧州委員会がスパイウェア問題に対して何ら行動を起こさないことに苛立ちを募らせており、今回の事案が明るみに出てもなお、自身が所属する委員会が提案した改革の実現には至らないのではないかと危惧していると語りました。
Neumann氏によれば、各国政府がスパイウェアを情報活動や法執行の手段として重視していることが、欧州委員会の対応が進まない要因になっているといいます。
「何も対策が講じられていないのはまったくの不条理です。それでいて、スパイウェアがセキュリティに貢献しているかのような見せかけの理屈がまかり通っている。実際にはセキュリティを損なっているというのに」とNeumann氏は述べました。
Kouloglou氏自身は、NSOを提訴する考えを明らかにしています。
「私のスマートフォンには15年分の写真やメッセージ、あらゆるものが入っていました……首相とのやり取り、議員や各政党の党首、ジャーナリストたちとのメッセージ……すべてです」。
翻訳元: https://therecord.media/pegasus-spyware-european-parliament-pega-committee-member