新たな報告書によると、ヨルダン当局は2023年末から2025年半ばにかけて、少なくとも7人のヨルダン人活動家および人権擁護者の携帯電話からデータを抽出するために、Cellebriteのデジタル・フォレンジック(デジタル鑑識)ソフトウェアを使用した。
Citizen Labが木曜日に公表したこの調査結果は、同研究機関が4件で押収された携帯電話をデジタル鑑識分析した結果と、3件のヨルダンの裁判記録に基づく。報告書によれば、Citizen Labが鑑識分析した端末のうち3台はiPhoneで、1台はAndroidだった。
Citizen Labが確認したデータ抽出はすべて、ガザに対するイスラエルの作戦に批判的な発言を理由に、当局が活動家を取り調べまたは拘束している最中に行われたと報告書は述べている。
イスラエルに本社を置くCellebriteは、世界中の法執行機関がロックされた携帯電話に侵入するために用いるソフトウェアを開発している。同社は、2024年にドナルド・トランプの暗殺を試みたとして告発された人物の端末を含む、悪名高い事件の容疑者に関するデータ抽出でFBIを支援してきた。
報告書が詳述しているのは7件のみだが、Citizen Labは、ヨルダン当局が市民社会の構成員に対してCellebriteを使用した他の事例を数十件把握しているという。同研究機関は以前、ヨルダン人活動家の携帯電話を検査し、当局が少なくとも2020年以降Cellebriteを運用してきたとみていると述べていた。
ヨルダンは少なくとも2015年以降、活動家への取り締まりを強めてきた。同年、オンライン上の一部の発言を犯罪化するサイバー犯罪法を制定したためだ。2023年の同法改正では、違法な発言の範囲が拡大され、「いかなる個人に対しても名誉を毀損し、中傷し、または侮辱を示す」言語が含まれるようになった。
Cellebriteは、チャット、ファイル、写真、動画、位置情報履歴、保存されたパスワード、WiFi履歴、通話ログ、メール、閲覧履歴、SNSアカウント、サードパーティアプリのデータ、さらには端末所有者が削除しようとしたデータまで抽出できる。
同プラットフォームは、総当たり型の攻撃に加え、より高度なエクスプロイトベースの手法も用いて、端末のセキュリティや暗号化を突破する。報告書によれば、パスコード解読が不要な場合であっても、政府は「データ抽出と可視化を容易にする」ためにCellebriteを使用している。
Cellebriteの乱用が確認された国はヨルダンだけではない。2024年12月、アムネスティ・インターナショナルは公表した証拠の中で、セルビア当局が法執行機関に拘束されている間に、記者と活動家の携帯電話を密かに解除し、端末にスパイウェアを仕込むためにCellebriteを使用したことを示した。
Citizen Labはさらに、ロシア、ナイジェリア、ボツワナ、ミャンマー、イタリアの各国政府が、市民社会の構成員を監視する目的でCellebriteを乱用したとの追加報告を引用した。 報告書によれば、Cellebriteはベラルーシ、バングラデシュ、中国、香港、ベネズエラの独裁的政権にもソフトウェアを販売している。
同研究機関はコメントを求めてCellebriteの広報担当者に連絡し、同社の声明を記者と共有した。
広報担当者は、ヨルダンにおけるCitizen Labの調査結果を否定せず、「方針として、個別の事案についてはコメントしない」と述べた。
「当社は潜在的な顧客を社内の人権基準に照らして審査しており、その結果、
歴史的に、リスクが当社の企業価値と相容れないと判断された法域では事業を停止してきた」と声明は述べた。「当社は合法的目的のためにのみ技術をライセンスし、顧客には使用前に有効な法的権限を有していることを明示的に証明するよう求めている。」
「当社は、エンドユーザー契約に明示的または黙示的に定められた条件の双方に反する形で当社技術が悪用された可能性に関するあらゆる申し立てを、重大に受け止めている。」
Citizen Labは、鑑識分析した4台すべての携帯電話で、Cellebriteに関連するiOSおよびAndroidの侵害指標(IOC)を発見したと述べた。
活動家らは、Face IDまたはパスコードを使って当局のために携帯電話を開かされることを強いられた。ある事例では、拘束後に活動家が携帯電話を手に取ると、端末の背面に貼られたテープ片にパスコードが書かれているのを見つけたと報告書は述べている。その活動家は当局にパスコードを一切提供していなかった。
Citizen Labが入手した裁判記録は、同国のサイバー犯罪法に違反したとして告発された活動家の訴追に関連していると報告書は述べている。
Citizen Labによれば、各裁判記録には「押収端末に対して実施された鑑識抽出の概要を含む、ヨルダン刑事捜査局が作成した『技術報告書』」が含まれている。
Citizen Labは、説明責任を高め、乱用を検知しやすくするため、Cellebriteに対し、標的とする端末に特定顧客に紐づく固有識別子を用いたウォーターマークを付与することを検討するよう求めたと述べた。
翻訳元: https://therecord.media/jordan-used-cellebrite-against-activists-critical-gaza-war
