TokyoBlackHatNews

infosecurity-magazine.com 5分で読了

スパイウェアベンダーの曖昧なエコシステムが制裁回避を助けている

スパイウェアに対する国際的な取り締まりについて詳しく読む

ハック・フォー・ハイヤー(請負型ハッキング)サービスやスパイウェアツールに対する世界的な監視はここ数か月で強まり、多くの国が、これらのツールやサービスを利用した人権侵害や安全保障上の侵害に対する法的対応を強化している。

しかし、NSO GroupのPegasusやIntellexaのPredatorのような最も悪名高いスパイウェア製品が、いくつかの法域でいまや歓迎されない存在となっている一方で、依然として繁栄しているものも多い

アトランティック・カウンシルのCyber Statecraft Initiativeとアメリカン大学の研究者による9月4日の報告書によれば、スパイウェアベンダーが制裁を回避できるのは、さまざまな場所に拠点を置き、異なる法域に依存する、相互に関連した複雑なネットワークが一因だという。

Mapping connections in the NSO Group, Quadream, and Interionet clusters. Source: Atlantic Council
NSO Group、Quadream、Interionetの各クラスターにおけるつながりのマッピング。出典:Atlantic Council

続きを読む:NSO Groupの最近の苦境がスパイウェア業界の未来を形作る可能性

意図的に分かりにくいスパイウェアの状況

2019年から2023年にかけて主導された調査の結果、同シンクタンクのDigital Response Forensics Laboratory(DFRLab)は、スパイウェア開発に関与する42か国にまたがる驚異的な435の組織を特定した。

この「詳細ではあるが、それでも不完全なサンプル」には、49のベンダーに加え、36の子会社、24の提携企業、20のサプライヤー、そして32の持株会社、95の投資家、179人の個人(実名の投資家を多数含む)が混在している。多くの場合、これらの組織間の関係は公表されておらず、名称も頻繁に変更されるため、追跡がより困難になる。

Entities change their legal name to obscure their identity and manage the impact of negative press. Source: Atlantic Council
組織は、身元を隠し悪評の影響を管理するために法的名称を変更する。出典:Atlantic Council

報告書は、「この市場は、より広範にスパイウェアがもたらす人権侵害と国家安全保障上のリスクを助長する重要な経路である」と指摘している。

米国や英国のような国々が一部ベンダーへの取り締まりを開始している一方で、輸出規制を含む多くの制裁は「自己申告に依存している」と、Cyber Statecraft InitiativeのシニアディレクターであるTrey Herr氏はThe Washington Postに語った。

「政策面で国際的な協力を実現しなければ、この市場は制御不能な形で拡大してしまう」と同氏は付け加えた。

スパイウェア環境における主要トレンド

DRFLabが収集したデータセットを分析した結果、Cyber Statecraft Initiativeの研究者は、スパイウェアのエコシステムを特徴づける主要なトレンドを4つ見いだした:

  1. 3つの主要法域(イスラエル、イタリア、インド)への組織の集中
  2. 複数ベンダーにまたがる連続的な起業
  3. スパイウェアベンダーとハードウェア監視ベンダー間の提携
  4. ベンダーのアイデンティティが定期的に変化すること
  5. 戦略的な法域の乗り換え
  6. この市場を支える国境を越えた資本の流れ

Atlantic Councilによる反スパイウェア政策提言

これらのトレンドを踏まえ、研究者は「市場全体の透明性を高め、行動制限の回避を狙うベンダーによる法域裁定(jurisdictional arbitrage)を抑え、サプライヤーおよび投資家との関係をより効果的に精査する」ための政策提言一式を提示した

  • 「ベンダーを把握せよ(know your vendor)」要件の義務化:Atlantic Councilは、米国とそのパートナーがスパイウェアベンダーに対し、サプライヤーおよび投資家との関係の開示を求めることを推奨した
  • 政府運営の企業登記簿の改善:研究者は、政府運営の企業登記簿をより詳細にし、一般に公開してアクセス可能にし、体系的に検証されたデータを用いるよう求めた
  • 輸出ライセンスの充実、監査、公開:主要スパイウェアベンダーの人員および活動に関する記録を収集するため
  • スパイウェアベンダーによる法域裁定の抑制:同シンクタンクは、政府がベンダーに違反の自己申告を義務づけ、スパイウェアベンダーが法域から退出しにくくし、所有権に影響する取引後に自動審査を実施することを推奨した
  • 公共参加に対する戦略的訴訟(SLAPP)への保護強化 (SLAPP):Atlantic Councilは、政府がオープンな報告を促進し、違反を報告する研究者・ジャーナリスト・活動家をスパイウェアベンダーが訴えられる能力を制限するよう助言した

Predatorスパイウェアのインフラが再浮上

Atlantic Councilが報告書を公表した翌日、サイバーセキュリティ企業Recorded Futureは、IntellexaのPredatorスパイウェアが再興している証拠を示す新たな調査結果を共有した。

制裁後にスパイウェアの活動は低下していたものの、Recorded Futureの脅威インテリジェンス部門であるInsikt Groupによる9月5日の報告書は、Predatorが依存するインフラが最近再び出現したことを示した

Insikt Groupの研究者は、「新しいインフラには、多層型の配信システムに追加の階層が含まれており、顧客の運用を匿名化することで、どの国がスパイウェアを使用しているのかを特定するのがさらに難しくなる。この変更により、研究者やサイバーセキュリティ防御側がPredatorの拡散を追跡することがより困難になる」と指摘した。

Mapping connections in the Intellexa Consortium and Nexa Group clusters. Source: Atlantic Council
Intellexa ConsortiumおよびNexa Groupの各クラスターにおけるつながりのマッピング。出典:Atlantic Council

結論

Atlantic Councilの報告書は、スパイウェア業界に関与する組織の複雑な網の目に光を当て、これらの強力なツールの悪用を規制し防止することの難しさを浮き彫りにしている。

制裁にもかかわらずPredatorスパイウェアのインフラが再浮上していることは、スパイウェアの拡散に対抗し、人権と国家安全保障を守るために、継続的な警戒と国際協力が必要であることを示している。

続きを読む:スパイウェアのリスクを軽減し、ビジネス上の機密を守る方法

翻訳元: https://www.infosecurity-magazine.com/news/spyware-ecosystem-evade-sanctions/

ソース: infosecurity-magazine.com
#NSOグループ #Pegasus #Predator #スパイウェア #人権侵害 #制裁回避 #商用監視技術 #国家安全保障 #国際協力 #輸出規制

関連記事

Infosecurity Europe:NCSCが警告、不確実性が続く今こそレジリエンス強化に向けた即時行動を

Infosecurity Europe:AIを活用しないサイバーセキュリティチームは「失敗する運命にある」

Infosecurity Europe:バイエル、AI脅威に対抗するためセキュリティ意識向上トレーニングを刷新