NSOグループの法的敗北はスパイウェアの抑制にほとんど影響を与えないかもしれない

出典: GamePixel via Shutterstock

カリフォルニアの陪審員が、スパイウェアの供給者であるNSOグループに対するMeta所有のWhatsAppの訴訟で、懲罰的および補償的損害賠償として1億6800万ドルを授与したことは、政府とその商業提供者によるますます人気のあるハッキングおよび監視戦術に対して、裁判官や陪審員がほとんど寛容でないことを浮き彫りにしています。

それでも、そのような能力への需要は依然として強く、この裁判がスパイウェアベンダーを抑制する可能性は低いです。NSOグループは「適切な法的救済を追求する」と誓っており、判決に対して控訴する可能性が高く、判決の執行と損害賠償の回収を遅らせるでしょう。さらに、NSOグループはイスラエルに拠点を置いており、賞金の回収を試みる際に管轄上の問題を引き起こします。商業スパイウェアベンダーは一般に、ロシアやインドネシアなど、管轄が寛容な国から運営されています。

この判決は重要な法的勝利ですが、その影響は弱まる可能性があると、政策シンクタンクであるアトランティック・カウンシルのサイバー国家戦略イニシアチブの副所長であるジェン・ロバーツは述べています。スパイウェア問題に関する詳細な報告書を発表しました。

「NSOグループの不透明なビジネス運営により、Metaは支払いを強制する上で大きな障害に直面する可能性があります」と彼女は言います。「訴訟が進行中の間も、NSOグループはWhatsAppを3つの異なるエクスプロイトで標的にし続けており、法的脅威にもかかわらずプラットフォームが標的であり続ける可能性があることを示唆しています。」

関連:攻撃者が偽の生成AIツールに「ヌードルファイル」マルウェアを仕込む

Facebook — 現在のMeta — は、2019年にNSOグループに対して訴訟を起こしました。同社がメッセージングプラットフォームの少なくとも1つの脆弱性を利用して、1,400人以上のWhatsAppユーザーにペガサススパイウェアを感染させたと主張しました。他の技術企業や組織も訴訟を起こし、2021年にはAppleや2022年にはエルサルバドルのオンライン新聞El Faroが続きました。

根本的な問題は、攻撃的なソフトウェアツールを使用して市民のデバイスやそのサービスプロバイダーを侵害することが、政府の監視がほとんどない状態で民主的権利を損なうかどうかであると、ヨーロッパの民主主義と技術センター（CDT）のセキュリティ、監視、及び人権グループのプログラムディレクターであるシルビア・ロレンゾ・ペレスは述べています。

「国際人権法は厳格な条件下での標的監視を許可していますが、具体的には合法性、必要性、比例性です。しかし、NSOグループのペガサスのようなスパイウェアは、その非常に侵襲的な性質のために本質的に不均衡であると広く評価されています」と彼女は言います。「このことは、法の支配を支持する民主的な社会でそのようなスパイウェアが合法的に展開されることができるかどうかについての根本的な疑問を提起します。」

関連:世界的なボットネットビジネスで数百万を稼いだ後、4人のハッカーが逮捕される

エデン、ヘブン、そしてERISED

暗闇の中で活動することに慣れた商業スパイウェアベンダーにとって、5年間の裁判の結論は彼らの活動に対する望ましくないスポットライトです。裁判の発見段階で、4人の幹部の証言が現在公開されています。それには、同社の5000万ドルの研究開発予算、米国政府機関がそのサービスに700万ドル以上を支払った事実、そしてWhatsAppのプラットフォームの逆エンジニアリングと脆弱性の発見に対する同社の広範な努力が含まれています。

例えば、彼の証言の中で、NSOグループの研究開発担当副社長であるタミール・ガズネリは、同社がWhatsAppにエクスプロイトを配信する3つの方法、エデン、ヘブン、ERISEDを持っていることを認めました。NSOグループは、この3つのベクトルを「ハミングバード」と呼び、約50のアカウントを使用してテストしました。

この裁判の勝利は、商業スパイウェアを抑制し、ユーザーの権利を守るための長い旅の最初のステップに過ぎないと、CDTヨーロッパのペレスは述べています。

「この判決は、NSOのようなスパイウェアベンダーに対する明確な抑止力として機能し、脆弱性を悪用することに基づくビジネスモデルが違法であり、起訴につながる可能性があることを示しています」と彼女は言います。「また、これらのツールを購入している政府に対しても、スパイウェアの展開を可能にしたり関与したりすることは、合法的なセキュリティ慣行ではなく、法的および倫理的に問題のある活動であるという強いメッセージを送ります。」

関連:SonicWallがSMAデバイスのエクスプロイトチェーンに対するパッチを発行

スパイウェアのヒュドラ

米国のまだ議論の多い盗聴法、例えば外国情報監視法（FISA）とは異なり、人々の携帯電話やコンピュータから通信を侵害して収集する法的基盤は十分に試されていません。さらに、スパイウェアはしばしば政府によって悪用されています。例えば、2024年11月に公開された証言では、NSOグループの幹部が、ペガサスの能力を悪用したために10の政府顧客を切り捨てたことを認めました。

NSOグループは、国家政府によって正当に展開される監視ソフトウェアが犯罪と戦い、市民を保護するために必要であると主張しています。この技術とソフトウェアは「多くの命を救った」と、NSOグループのコミュニケーション担当副社長であるギル・レイナーは言います。

「私たちは、私たちの技術が重大な犯罪とテロを防ぐ上で重要な役割を果たし、認可された政府機関によって責任を持って展開されていると固く信じています」と彼は言います。「私たちは判決の詳細を注意深く検討し、さらなる手続きや控訴を含む適切な法的救済を追求します。」

通常、判決は30日以内に控訴されなければなりません。

この裁判はスパイウェア業界全体に広範な影響を与えるでしょうが、NSOグループの技術とビジネスモデルはおそらく生き残るでしょう。なぜなら、市民を監視する能力を求める多くの政府がデジタルデバイスを悪用することを求めているが、自分たちのプラットフォームを作成する技術的スキルを持たないかもしれないからです、とロバーツは言います。

「たとえNSOグループが破産しても、彼らの才能は新しい会社を設立したり、他のベンダーで働いたりする可能性があります。私たちがMythical Beastsレポートやデータセットで観察したように」と彼女は言います。「私たちはこの分裂を注意深く観察し、将来の拡散と悪用を防ぐために戦い続けることが重要です。」