WhatsAppがNSOグループを提訴した訴訟の最新判決で、スパイウェアメーカーは同アプリのユーザーを標的にすることを禁じられましたが、今年初めに陪審が認定した懲罰的損害賠償額は大幅に減額されました。
WhatsAppは2019年、ゼロデイ脆弱性が悪用されてスパイウェアが配布されたことが明らかになった後、約1,400人のWhatsAppユーザーが被害を受けたとしてNSOを提訴しました。
2024年12月、裁判官はNSOグループがWhatsAppユーザーのハッキングに対して責任があると判断し、2025年5月には陪審がスパイウェアメーカーに44万4,000ドル超の実損害賠償と1億6,700万ドルの懲罰的損害賠償の支払いを命じました。
NSOはこの陪審の判断に控訴し、WhatsAppが受け取るべき賠償額は177万ドルを超えるべきではないと主張しました。また、WhatsApp側はNSOがユーザーを標的にすることを禁じる差止命令を求め、NSOはこれが事業全体を危険にさらし、「廃業を余儀なくされる」と反論しました。
10月17日付の判決で、米連邦地裁のPhyllis Hamilton判事はNSOに対し、WhatsAppのハッキングを恒久的に禁止する差止命令を出しました。
「本質的に、WhatsAppのような企業が『販売』しているものの一部は情報のプライバシーであり、いかなる無許可のアクセスもその販売を妨害するものです」と判事は判決文で述べています。「被告の行為は、原告が提供するサービスの目的の一つを損なうものであり、これは直接的な損害を構成します。」
NSOはWhatsAppのリバースエンジニアリングを停止し、新たなWhatsAppアカウントの作成も禁止されました。また、保有しているWhatsAppのソースコードも削除・破棄しなければなりません。
一方で、この禁止命令はWhatsAppのみに限定されており、訴状で求められていたようなInstagramやFacebookなど他のMetaサービスには適用されません。
「本日の判決により、スパイウェアメーカーNSOは今後一切WhatsAppおよび当社の世界中のユーザーを標的にできなくなりました」とWhatsAppは判決後に声明を発表しました。「市民社会のメンバーを標的にしたNSOの責任を追及するために6年にわたる訴訟を経て、この決定を歓迎します。」
Hamilton判事はこの点でWhatsApp側の主張を認めましたが、陪審が認定した懲罰的損害賠償額は過大であるとして、1億6,700万ドルから400万ドル強に減額しました。これは実損害賠償の9倍であり、不正行為の重大性に応じて賠償額を制限する規則に従ったものです。
NSOのスパイウェアは、政府機関がテロやその他の犯罪と戦うための正当な監視ツールとして宣伝されています。しかし、実際には権威主義的な政権によって、反体制派や人権活動家、ジャーナリストなどを標的に使用されることが多くありました。
同社は不正行為を否定し、顧客が自社のソリューションをどのように使用するかについて責任はないと主張しています。
NSOは最近、ハリウッドプロデューサーのロバート・シモンズ氏率いる米国の投資家グループに買収されました。取引額は数千万ドル規模と報じられています。NSOの所有権は近年、創業者や複数のプライベートエクイティファームの間で何度も移転しており、今回の買収で支配権がイスラエル国外へ移ることになります。
翻訳元: https://www.securityweek.com/nso-ordered-to-stop-hacking-whatsapp-but-damages-cut-to-4-million/
