TokyoBlackHatNews

darkreading.com 4分で読了

WhatsApp、6年に及ぶ法廷闘争の末にNSOグループへの禁止命令を獲得

スマートフォンの画面に通知が表示されたWhatsAppアプリのクローズアップ

出典:pumkinpie(Alamy Stock Photo)

長期にわたる法廷闘争の最新判決で、商用スパイウェア企業NSOグループは、数千台のデバイスにハッキングおよびスパイウェアをインストールした後、WhatsAppユーザーを標的にすることを禁止されました。

この訴訟は2019年にWhatsAppがNSOを提訴したことで始まりました。スパイウェア企業はWhatsAppのサーバーを利用し、メッセージサービスのシステムに存在したゼロデイ脆弱性を悪用して、約1,400台のモバイルデバイスにPegasusスパイウェアを配布しました。スパイウェアに感染した携帯端末の中には、ジャーナリストや活動家、さらには政府関係者、外交官、政治候補者のものも含まれていました。

この脆弱性(CVE-2019-3568として追跡)は、バッファオーバーフローのバグであり、標的の電話番号に一連のRTCPパケットを送信することでリモートコード実行を可能にしていました。

ユーザーがこれらの標的型電話を受信すると、脆弱性が自動的に悪用され、スパイウェアがデバイスにダウンロードされました。

Metaは訴訟を起こす前にこの問題の調査を開始し、2019年10月にNSOがWhatsAppの脆弱性を悪用してMetaユーザーに無断でPegasusスパイウェアを配布したと主張しました。

2024年、判事はNSOグループがWhatsAppユーザーの携帯電話をハッキングした責任があると判断しました。今年初め、陪審は同社に44万4,000ドル以上の損害賠償と1億6,700万ドルの懲罰的損害賠償の支払いを命じました。

しかしNSOグループは陪審の決定に控訴し、WhatsAppには177万ドル以上の賠償を認めるべきではないと主張しました。また、NSOがユーザーを標的にすることを禁じるWhatsAppの差止命令にも反対し、これにより同社が危険にさらされ、事業継続が困難になると主張しました。

先週の判決で、米連邦地裁のPhyllis J. Hamilton判事は懲罰的損害賠償をわずか400万ドルに減額しましたが、MetaによるNSOへの恒久的な差止命令の請求を認めました。

最終判決

10月17日の判決で、Hamilton判事はNSOのハッキング行為がWhatsAppおよびそのユーザーに「直接的な損害」を与えたと説明しました。

「要するに、裁判所はコンピュータ詐欺及び濫用防止法(CFAA)およびカリフォルニア包括的コンピュータデータアクセスおよび詐欺法(CDAFA)、さらに契約違反について、原告側の部分的略式判決を認めました」と判決文は述べています。「証拠によれば、被告はWhatsAppのコードをリバースエンジニアリングし、改変したWhatsAppクライアントアプリケーションを作成し、それを使ってWhatsAppのサーバー経由で標的ユーザーのデバイスに自社ソフトウェアをインストールしました。」

これだけでなく、追加の証拠により、NSOグループが検出を回避し、WhatsAppのセキュリティ修正をすり抜けるためにソフトウェアを繰り返し再設計していたことも示されました。

Hamilton判事は、WhatsAppは本質的にユーザーにデータプライバシーを提供しており、NSOのスパイウェアは同社にとって「回復不能な損害」をもたらすと説明しました。

「被告の主張は、WhatsAppやユーザーがNSOのソフトウェアを自分のデバイスに招き入れたり望んだりしていないという事実にもかかわらず、被告が自らの目的のためにWhatsAppを利用する『権利』を前提としているように思われる」と判事は記しました。

Citizen Labの上級研究員John Scott-Railtonは、懲罰的損害賠償の減額にもかかわらず、今回の判決を称賛しました。「NSOグループに対する巨額の懲罰的損害賠償(1億6,700万ドル)は、金額が大きすぎる場合によくあるように、裁判所によって減額されました(損害賠償の9倍に)」と彼はXでの投稿で述べました。「これはNSOにとっては慰めにならないでしょう。差止命令がNSOのスパイウェア製品の価値に大きな影響を与えると考えているからです。」

恒久的な差止命令のもと、NSOは今後WhatsAppをリバースエンジニアリングすることも、新たなアカウントを作成することもできません。また、保有しているすべてのWhatsAppソースコードも削除・破棄しなければなりません。

MetaのWhatsApp責任者Will Cathcartも、Xでの投稿で今回の判決に満足感を示しました。

「本日の判決により、スパイウェアメーカーNSOは今後一切WhatsAppおよび当社の全世界のユーザーを標的にすることが禁止されます」とCathcartは投稿しました。「市民社会のメンバーを標的にしたNSOの責任を問うための6年に及ぶ訴訟の末に下されたこの決定を歓迎します。これは、米国企業を攻撃することには重大な結果が伴うという重要な前例を示すものです。」

翻訳元: https://www.darkreading.com/cyber-risk/whatsapp-ban-nso-group-legal-battle

ソース: darkreading.com
#AI in Cybersecurity #Child Data Privacy #Instance Metadata Service (IMDS) #Journalist Surveillance #legal battle #NSO Group #Pegasus Spyware #permanent injunction #WhatsApp #Zero-day Vulnerability

関連記事

Zoom CISO Sandra McLeod:AIはセキュリティの「役割代替者」ではなく「実現者」

FBIが警告したフィッシングキット「Kali365」、標的範囲をさらに拡大

DriveSurge:数千サイトを乗っ取り、ClickFixとFakeUpdate攻撃を展開