セキュリティ研究者らは、欧州の政治家が悪名高い監視ツールの悪用を調査する調査委員会の委員を務めていた際に、携帯電話がペガサス・スパイウェアでハッキングされたことを確認した。これにより、政府が訪問者に関する情報を収集するためにスパイウェアを悪用しているという新たな論争が再燃している。
トロント大学のデジタル権利部門「シチズン・ラボ」の研究者らは、2022年から2023年にかけてギリシャのジャーナリストで元政治家のステリオス・コログロウ氏の携帯電話がハッキングされたことが確認され、欧州政府による電話スパイウェア攻撃の調査を任務とする欧州議会のPEGA委員会の委員がスパイウェアを所持していると公的に特定されたのは初めてだと述べた。
Cologlu氏は電話でTechCrunchに対し、意図的に携帯電話を侵害するのは「無謀」だと語った。欧州の現職議員は、コログル氏の携帯電話へのハッキングを「法の支配に対する直接的な攻撃」と表現し、欧州委員会に対し、27か国のブロック全体でスパイウェアの使用に厳しい制限を課すなど具体的な行動を取るよう求めた。
議員に対するスパイ攻撃は稀だが、調査中のスパイウェアそのものを通じた委員会の調査員のタイミングと標的は、広く期待されている調査結果の詳細を記した報告書を前に、委員会の内部事情に集中的に焦点を当てていることを示唆している。このハッキングは、表面上は重大な犯罪を検出するために必要なスパイウェアを政府がどのように使用しているかについて、新たな疑問を投げかけているが、ジャーナリストや議員、評論家らの通信をスパイしていることが発覚した。
シチズン・ラボの研究者らは、電話ハッキングが特定の国によるものではなかったが、政府クライアントは、ヨーロッパ全土のジャーナリストの電話をハッキングした以前のキャンペーンで使用されたものと同じペガサスを搭載した電子メールアドレスを使用したと述べた。顧客の身元は不明ですが、同じ有効な電子メール アドレスが繰り返し使用されていたことから、顧客が NSO グループから同社の Pegasus スパイウェアを使用してヨーロッパのいくつかの国で電話を盗み見る許可を得ていたことが示唆されます。
欧州委員会の広報担当者はTechCrunchのコメント要請に応じなかった。 NSO グループも、シチズン ラボの報告書発行前にコメントを求めたが、返答はなかった。
シチズン・ラボは金曜日に発表した報告書の中で、クーログロウ氏がアップルのiPhoneソフトウェアのセキュリティ脆弱性を突くエクスプロイトを利用して2022年10月にハッキングされ、2023年3月中に少なくとも2回ハッキングされたと述べた。この脆弱性は修正されましたが、Kouloglou 氏の携帯電話にはまだパッチがインストールされていません。このエクスプロイトは「ゼロクリック」バグであり、スパイウェアが侵入し、ユーザーの操作を必要とせずにデータを盗んだことを意味します。
このバグは、iPhone で使用されている Apple のスマート ホーム ソフトウェアで以前に発見された欠陥を悪用しました。これにより、スパイウェアは、テキスト メッセージやその他の通信、位置データ、写真などの個人データを、コログルの知らない間にコログルの携帯電話から取得することができました。
2022年10月のハッキングのタイミングは、キプロス、ギリシャ、ハンガリー、ポーランド、スペインを対象としたスパイウェアの悪用を概説する最初の草案の提出に至るまで、2022年10月から11月にかけて電子メールとテキストメッセージをめぐる激しい議論と一致している。
このハッキングは、当時クーログロウ氏が予定されていた手術のために入院していた正確な時間とも一致しており、そのためスパイウェアのオペレータは、彼の健康管理について話し合っている周囲の音声や、当時彼が訪問者と交わしたその他の会話を聞くことができた可能性がある。
数か月後の3月6日と7日、シチズン・ラボは、委員会の審議期間中および委員会が報告書草案を最終決定して採択する数か月前に、コロログがアテネからブリュッセルに移動中に、コロログの携帯電話が同じペガサスオペレーターによって再びハッキングされたと発表した。
電話の中で、コログロ氏はTechCrunchに対し、なぜ自分が特別に標的にされたのかは分からないが、ペガサスの虐待を調査する欧州議会委員会での仕事に起因すると信じていると語った。
彼は自分の携帯電話がハッキングされたことを知ったときの怒りを語った。
「あなたの個人データはすべて、 [was taken] 閣僚とのすべての専門的なやりとりやメッセージだけではなく、幸せな瞬間や悲しい瞬間など、非常にプライベートなことも同様です」と彼はTechCrunchに語った。
コログル氏は、イスラエルでスパイウェアを製造したNSOグループを訴えるつもりだと述べた。人々の人権を侵害する可能性のあるスパイウェアの政府使用を違法とするバイデン政権時代の大統領令を受け、NSOは米国での使用が引き続き禁止されている。
昨年、このスパイウェアメーカーは、明らかに人権侵害の可能性に関連して傷ついたNSOのブランドを回復する取り組みの一環として、米国の匿名の投資グループが同社に数千万ドルを注ぎ込んだことを認めた。
コログルさんは、自分の物語を「民主主義、人権、汚職との戦いのために」出版していると語った。
「汚職は誰にでも影響を及ぼします」と彼は言った。
記事内のリンクを通じて購入すると、少額の手数料が発生する場合があります。これは編集上の独立性には影響しません。