ペガサスからパル・モールへ:攻撃的サイバー能力の拡大する市場を理解する
空軍を保有するのに戦闘機を製造する必要はありません——購入できる予算さえあればよいのです。同じ原理がいま、攻撃的サイバー能力にも当てはまります。80を超える国々が、民間ベンダーから脆弱性、エクスプロイト、スパイウェア、そしてコマンド&コントロール(C2)インフラを購入しており、かつては世界で最も高度な情報機関に限られていたツールへのアクセスが民主化されています。
これらの能力は、対テロ捜査から犯罪ネットワークの追跡まで、正当な安全保障目的に資する場合もありますが、誤用されれば、より広いサイバー・エコシステムに体系的なリスクを持ち込みます。重大な脆弱性の拡散、脆弱なガバナンス枠組み、そして記録された人権侵害により、商用スパイウェアはニッチな防衛製品から、世界的な安全保障上の課題へと変貌しました。
https://assets.recordedfuture.com/Executive-Insights/eir-2025-0918.pdf
2025年4月に25か国が署名した「パル・モール行動規範(Code of Practice)」は、責任ある利用を促すための国際的試みとして最も重要なものを代表しています。しかし、採用状況にはばらつきがあり、さらに世界各地で根本的に異なるガバナンスモデルが台頭しているため、商用監視市場は調和ではなく分断へ向かっているように見えます。
産業の解剖
商用スパイウェア産業は、見出しを飾るベンダーをはるかに超えて広がる複雑なエコシステムを通じて運営されています。アトランティック・カウンシルの「Cyber Statecraft Initiative」による研究によれば、42か国にまたがる少なくとも435の主体がこの市場に参加しており、持株会社、下請け、個人研究者、投資家まで含めて考えると、この数字は全体のエコシステムのほんの一部に過ぎない可能性が高いとされています。
商用の攻撃的サイバー能力は通常、相互に連関する3つの構成要素から成ります。第一に、脆弱性とエクスプロイト:多くのサイバー侵入ツールは、iOSやAndroidのような広く使われるソフトウェアに存在する未発見(ゼロデイ)の脆弱性に依存します。悪用されると、これらの脆弱性は、オペレーターが検知されることなくマルウェアのペイロードを送り込むことを可能にします。第二に、監視能力:スパイウェア本体であり、端末のカメラやマイクへのアクセス、キーストロークの追跡、データの持ち出し、位置情報の監視を行うよう設計されています。第三に、インフラ:ドメイン登録、IPアドレス、VPN、配信メカニズムなどを含むC2システムで、オペレーターが展開済みマルウェアと通信できるようにします。
この産業は、3つの法域に強く集中しています。イスラエル、インド、イタリアです。イスラエルのクラスターだけでも——NSO Group、Candiru、Paragon Solutions、Cognyteなどを含め——アトランティック・カウンシルのデータセットで追跡されている主体の約44%を占めます。インドのクラスターにはAppin Security GroupやBellTroX Infotechのような企業が含まれ、イタリアではMemento Labs(旧Hacking Team)やRCS ETM Sicurezzaといった企業が主要拠点を構成しています。
注目すべきことに、これら3つの主要産業中心地のうち、パル・モール行動規範に署名した、または米国主導の「Freedom Online Coalition」に参加したのはイタリアだけであり、規制努力が直面する根本的課題を浮き彫りにしています。
人的コスト:カショギからカトマンズまで
商用スパイウェアに伴うリスクは大きく2つに分類されます。サイバー脆弱性の拡散と、人権侵害です。いずれも封じ込めが難しいことが証明されています。
拡散リスクは、標的型監視のために開発されたエクスプロイトが漏えいしたり拡散したりすることで現実化します。最も悪名高い例は依然としてEternalBlueで、米国国家安全保障局(NSA)が開発したとされるエクスプロイトが、その後、世界中で数十万のシステムに影響を与えたWannaCryランサムウェア攻撃に利用されました。より最近では、スパイウェアベンダーのIntellexaおよびNSO Groupが以前に展開していたエクスプロイトが、モンゴル政府のウェブサイトを標的とする攻撃で、ロシアの国家支援型脅威アクターによって再利用されました。
人権の側面も同様に憂慮すべきです。Recorded Futureの国別リスクデータによれば、市販の商用監視ツールを使用していることが観測された国の63%は、監督能力が限定的です。つまり、監視活動を監視し抑制できる独立した司法や監督機関を欠いています。
ジャーナリストのジャマル・カショギの事例は、最も身の凍るような例として際立っています。NSO Groupが開発したPegasusスパイウェアは、2018年にトルコのサウジ領事館で彼が殺害された前後の数か月に、カショギの家族や関係者の端末上で発見されました。しかし、このパターンは単一の著名事件にとどまりません。数十の国が、政治的反体制派、ジャーナリスト、弁護士、市民社会活動家に対して商用監視ツールを展開してきました。これは権威主義国家だけでなく、メキシコ、ギリシャ、スペイン、ポーランドなどの民主主義国でも起きており、ポーランドでは2025年1月、Pegasusの不正使用疑惑をめぐって元法務大臣ズビグニェフ・ジオブロが逮捕されました。
2025年2月という最近になっても、アムネスティ・インターナショナルは、セルビア拠点のBalkan Investigative Reporting NetworkのジャーナリストがPegasusの標的にされ続けていることを記録しており、長年にわたる暴露や訴訟にもかかわらず、濫用的な運用が継続していることを示しています。
NSO Group:産業ダイナミクスのケーススタディ
商用スパイウェア産業の軌跡をNSO Groupほどよく示す企業はありません。Pegasusプラットフォームの開発元である同社が、称賛されたセキュリティ革新企業から制裁対象へ、そして最近の米国投資家による買収へと至った歩みは、この市場の矛盾と複雑さを凝縮しています。
NSO Groupは2011年にPegasusの最初の版を開発し、政府がテロや重大犯罪と戦うのを支援するツールとして販売しました。同社は一貫して、審査済みの政府顧客にのみ販売し、製品のライセンス供与前にデューデリジェンスを実施していると主張してきました。NSOによれば、2020年から2021年にかけて、人権リスク評価に基づき、潜在的な販売約3億ドル(新規収益のおよそ15%)を拒否したとしています。
しかし、記録された濫用は着実に積み上がってきました。Citizen Labの研究者は45か国にわたるPegasusの運用を追跡しており、そのうち少なくとも6か国——バーレーン、カザフスタン、メキシコ、モロッコ、サウジアラビア、アラブ首長国連邦——は、市民社会に対する濫用的標的化と以前から関連付けられてきました。2025年5月、米国の陪審は、WhatsAppの脆弱性を悪用して51か国の1,400人のユーザーを標的にしたとして、NSO GroupにMetaへ1億6,730万ドルの損害賠償を支払うよう命じました。2025年10月までに、米国の裁判所はNSOに対し、WhatsApp上でのスパイウェア使用を全面的に停止するよう命令しました。
規制圧力は意図した効果を達成したように見えました——しかし2025年10月、NSO Groupは、映画プロデューサーのロバート・サイモンズが率いる米国拠点の投資家グループが同社の支配持分を取得したことを確認しました。本社は国防省の監督下でイスラエルに残るものの、所有構造の変更は、米国政府機関が将来的にPegasusの顧客となり、敵対者ではなくなる可能性があるのではないかという疑問を投げかけます。
パル・モール・プロセス:ガードレールの構築
リスクの高まりを認識し、英国とフランスは2024年2月にパル・モール・プロセスを開始し、政府、企業、市民社会組織を集めて、商用サイバー侵入能力(CCIC)の責任ある利用に向けた実務的枠組みを策定しました。
2025年4月の「国家向け行動規範(Code of Practice for States)」は、米国を含む25か国が署名しており、説明責任、精密性、監督、透明性という4つの柱にわたる自発的コミットメントを定めています。署名国は、CCICの開発・購入・輸出を規律する国内法の整備、権利侵害主体への販売を防ぐためのKYC(顧客確認)要件の実装、無責任なベンダーを政府契約から排除するプロセスの構築を誓約します。
この行動規範は真の前進を示しています。金融制限、渡航禁止、刑事訴追を通じてCCICを濫用する個人や主体の責任を追及することを明確に求めており、米国はすでに、Intellexa関連個人に対する財務省制裁や、スパイウェア濫用に関与した者を対象とする国務省のビザ制限を通じて、こうした措置を先行して実施しています。
しかし、重大な限界も残ります。この行動規範は自発的で法的拘束力がないため、執行に疑問が残ります。パル・モール署名国のうち、実際に商用監視ツールを使用している国は半数未満であり、主要な攻撃的サイバー企業を抱える国はさらに少数です。そして決定的に、この合意は国内法による例外を認めており、権威主義傾向の署名国がこれを抜け穴として利用し、政治的対立者の監視を正当化する恐れがあります。
おそらく最も根本的には、パル・モールの枠組みが扱うのは世界の監視市場の一部に過ぎません。とりわけロシアと中国のように代替アプローチを追求する国々に対しては、影響力が限定的でしょう。
並行市場:SORMとセーフシティ
西側の関心が商用スパイウェアベンダーに集中する一方で、パル・モールの影響が及びにくいところで、国家支援の監視エコシステムが2つ稼働しています。
ロシアは「作戦捜査活動システム(SORM)」を近隣諸国へ輸出し、さらに中央アジアやラテンアメリカのパートナーへと拡大しつつあります。個々の端末を侵害する商用スパイウェアとは異なり、SORMはインターネットサービスプロバイダ(ISP)レベルに監視能力を組み込み、特定のエンドポイントを狙うことなく通信トラフィックを大規模に監視できるようにします。このアーキテクチャ上のアプローチは、商用の端末ベース・スパイウェアとは根本的に異なり、ある意味ではそれ以上に危険です。
中国は、Huaweiベースの「セーフシティ(Safe City)」システムを複数のアフリカの首都などに展開することで、並行する路線を追求してきました。これらの統合プラットフォームは、監視カメラ、顔認識、通信監視を組み合わせ、包括的な都市監視ネットワークを構築します。中国はまた、強力な脆弱性研究エコシステムを維持しており、2024年に検出されたゼロデイ全体の約30%を占めています。これらの能力は直接的に商用ではないものの、攻撃的サイバーツールの世界的拡散に寄与しています。
こうした並行市場の存在により、西側がどれほど強力に規制しても、米国同盟の枠組みの外で活動する意思のある国家から監視能力を完全に排除することはできません。結果として起こり得るのは、濫用的監視の消滅ではなく、その地理的再配分です。
Salt Typhoonと「ハックバック」論争
商用スパイウェアをめぐる議論は、Salt Typhoonに関する暴露を受けて新たな緊急性を帯びています。マーク・ワーナー上院議員はこれを「我が国史上最悪の通信ハック」と呼びました。
2024年9月に初めて公に特定されたSalt Typhoonは、AT&T、Verizon、T-Mobileを含む少なくとも9社の米国主要通信企業を侵害し、裁判所の許可に基づく法執行機関の監視に用いられるシステムへアクセスしました。ハッカーは、トランプ大統領およびヴァンス副大統領を含む政府高官や政治関係者の通信にアクセスしました。2025年8月までにFBIは、このキャンペーンが80を超える国と600の組織へ拡大し、通信、政府、運輸、軍事部門を標的にしていることを確認しました。
侵入は、何年もパッチが当てられていなかった脆弱性を悪用していました——あるケースでは、2018年から記録されていたCiscoルーターの欠陥です。米国当局は、是正作業が続く中でも、中国の工作員が米国の通信システムへの能動的アクセスを維持している可能性を懸念しています。
Salt Typhoonは「ハックバック」——民間企業が攻撃者に対して攻撃的作戦を実施することを認める——をめぐる議論を再燃させました。もし許可されれば、攻撃的サイバーツールの市場は政府購入者を超えて劇的に拡大し、拡散リスクを大幅に高めるでしょう。商用の攻撃的能力に関するいかなる規制枠組みも、民間部門による攻撃的作戦の可能性を考慮に入れなければならなくなりました——これは、まったく新しい透明性と説明責任の仕組みを必要とするシナリオです。
分断シナリオ
今後を見据えると、商用監視市場は調和ではなく分断へ向かっているように見えます。パル・モール行動規範は、署名国の枠組みの中で運用する意思のある規制されたベンダー層と、それを意図的に回避する無規制層を生み出すことで、この分断を加速させる可能性が高いでしょう。
ベンダーにとって、これは根本的な事業上の選択を生みます。透明性要件と監督メカニズムを伴うCoP準拠市場に適応するか、あるいは制約のない能力にプレミアム価格を支払う意思のある、規制の緩い顧客へと軸足を移すかです。一部の企業は、複雑な企業構造を用いて準拠・非準拠の事業を分離し、二重路線を維持しようとする可能性が高いでしょう。
国家にとって、この分断は新たな戦略的考慮を生みます。人権との整合を重視する国家は、輸出管理とデューデリジェンス要件の対象となる、より小さなベンダー・プールに限定されることになります。西側の枠組みの外で活動する意思のある国家は、ロシア、中国、そしてパル・モール・システムの代替として自らを位置付ける法域で台頭する可能性のある新たな商用供給者へアクセスできるでしょう。
産業の地理そのものも変化し得ます。規制裁定(レギュラトリー・アービトラージ)——寛容な法環境に技術人材と投資資本が組み合わさる——を提供する国々で、新たなスパイウェア拠点が出現する可能性があります。現在のイスラエル、インド、イタリアへの集中は歴史的な発展パターンを反映しており、新たな規制圧力がそれを崩すかもしれません。
防御側への示唆
監視の標的となるリスクが高い組織や個人——ジャーナリスト、弁護士、人権擁護者、政治的反対派、機微情報を扱う経営層——は、高度な商用スパイウェアが現実的な脅威であると想定すべきです。
実務的な防御策には、個人用端末と業務用端末の厳格な分離、脆弱性の露出期間を最小化するための全端末・全アプリの更新、スパイウェアの攻撃面を減らすために特別に設計されたAppleのロックダウンモードのようなセキュリティ機能の有効化、そして一部のスパイウェアの永続化メカニズムを妨げ得る定期的な端末再起動が含まれます。
組織は、従業員端末全体にセキュリティ制御を強制するためのモバイルデバイス管理(MDM)ソリューションを導入し、データ露出の最小化とスピアフィッシングの識別を強調するセキュリティ意識向上トレーニングに投資すべきです。最高リスクの個人については、Citizen Labやアムネスティ・インターナショナルのSecurity Labのような組織によるフォレンジック分析サービスが、スパイウェア感染を検出できます。
企業レベルでは、セキュリティチームは、既知の商用スパイウェア・インフラに関連する侵害指標(IoC)を監視すべきです。Recorded Futureを含む脅威インテリジェンス提供者は、Candiruのようなベンダーが使用するインフラを追跡しており、潜在的な標的化の検知を可能にします。
今後の道筋
商用スパイウェア産業は転換点に立っています。法的責任追及は強まりつつあり——NSO Groupに対する1億6,800万ドルの判決は、ベンダーが濫用を可能にしたことで実質的な金銭的結果に直面し得ることを示しています。規制枠組みも形成されつつあり——不完全ではあるものの、パル・モール行動規範は、3年前には存在しなかった最低限の期待値を確立しました。技術的対抗策も改善しており——スパイウェア標的の可能性に関するAppleの通知は、濫用的運用を暴いた多数の調査を促してきました。
それでも、根本的課題は未解決のままです。現行枠組みの自発的性格は、悪質な行為者に対する執行を制限します。署名国ではない法域に攻撃的サイバー・ベンダーが集中していることは、権利侵害顧客への供給継続を保証します。ロシアと中国の国家支援型監視システムは、西側の規制の及ぶ範囲の外で完全に運用されています。そして民間部門による「ハックバック」作戦の可能性は、現行枠組みでは対処できない形で攻撃的ツール市場を劇的に拡大させる恐れがあります。
セキュリティ専門家にとって、商用スパイウェアの状況は、抽象的な政策論点としてではなく、顧客、組織、そして場合によっては自らの通信にも影響し得る運用上の現実として、継続的な注意を要します。サイバー兵器取引は、新興の脅威から、世界の安全保障環境における確立された特徴へと成熟しました——そして、最終的にどの規制枠組みが優勢となるにせよ、進化を続けるでしょう。
要点
市場規模:80を超える国々が、42か国にまたがる少なくとも435の特定主体から成るエコシステムから、商用の攻撃的サイバー能力を購入しています。
ガバナンスの欠落:商用監視ツールを使用する国の63%は十分な監督メカニズムを欠いており、記録された人権侵害を可能にしています。
地理的集中:産業はイスラエル、インド、イタリアに集中しており、そのうちパル・モール行動規範に署名したのは(イタリア)1か国のみです。
規制の進展:米国を含む25か国が署名したパル・モール行動規範は、これまでで最も重要な国際枠組みを代表しますが、自発的で法的拘束力はありません。
並行市場:ロシアのSORMと中国のセーフシティ・システムは西側の規制枠組みの外で運用されており、米国同盟のシステム外で活動する意思のある国家に対して、監視能力へのアクセスが継続することを保証します。
新たな圧力:Salt Typhoonによる通信侵害は、民間部門の攻撃的作戦をめぐる議論を再燃させており、実現すれば商用サイバーツール市場を大幅に拡大します。
分断の可能性:商用監視市場は、パル・モール準拠の顧客にサービスを提供する規制ベンダーと、制約の少ない市場にサービスを提供する無規制ベンダーに分裂する可能性が高いでしょう。
出典:Recorded Future Insikt Group、Atlantic Council Cyber Statecraft Initiative、Citizen Lab、Amnesty International Security Lab、Lawfare、Freedom House、UK Foreign Commonwealth & Development Office、US Congressional Research Service
翻訳元: https://breached.company/the-cyber-arms-trade-how-commercial-spyware-is-reshaping-global-security/
