カナダの大学を拠点とする研究機関は、イスラエルのIT企業がロシア政府への製品提供を停止すると発表したあとも、ロシア当局がこの企業の技術を使って反体制派のスマートフォンからデータを抜き取っていたとする報告書を発表しました。欧米のテクノロジー企業が、自社の製品が第三者に渡ったあとにその利用を完全に制御できるのか、課題が浮き彫りになっています。
報告書をまとめたのは、カナダのトロント大学を拠点とするデジタル権益保護団体「シチズン・ラボ」です。
それによりますと、ロシアの捜査当局は2021年6月、拘束していた反体制派の政治家、アンドレイ・ピヴォヴァロフ氏のスマートフォンに侵入するため、イスラエルのフォレンジック(デジタル鑑識)企業「セレブライト(Cellebrite)」が開発したデータ抽出ツールを使用したということです。
セレブライト社は、このハッキングが行われる3か月前の2021年3月に、ロシア政府機関への技術提供を即座に停止する方針を示していました。同社は、関係を断ち切った時点で機器の機能を停止させたり、ソフトウェアの更新を止めたりすることができるとしています。
しかし、今回のケースでは機能の停止が行われておらず、監視技術が一度顧客の手に渡ると、企業側が利用を制限することは極めて難しい実態が明らかになりました。
監視技術の規制を求めているイスラエルの人権派弁護士、エイタイ・マック氏は、「販売の停止やソフトウェアのライセンスを取り消したとしても、過去の顧客による技術の悪用を防ぐことはできない」と指摘しています。
また、シチズン・ラボの上級研究員、ジョン・スコット・レイルトン氏は、「企業は悪用が確認された場合、遠隔操作でシステムを無効化できるようにすべきだ」と述べ、企業側の対策強化を求めています。
セレブライト社は、スマートフォンなどの端末に接続してデータを抽出する機器を各国の政府機関などに販売しています。過去には香港やケニアなどで人権活動家やジャーナリストに対して同社の技術が使用されたことが報告されており、これを受けて同社は中国やミャンマーなどとの取引を停止する措置をとっています。
今回の報告について、セレブライト社の担当者は、「2021年3月にロシアへのすべての販売とサービスを停止し、既存のライセンスを終了させた。それ以降のロシアでの機器の使用は一切認めていない」と説明しています。
被害を受けたピヴォヴァロフ氏は、ロシアの反体制派グループの元代表で、実刑判決を受けたあと、2024年8月に欧米諸国とロシアの間の拘束者の交換によって釈放されています。ロシア当局がピヴォヴァロフ氏の裁判の過程で開示した文書には、セレブライト社のツールを使用して通信アプリのメッセージなどを抽出したことが記されていたということです。
ロシア大使館は、この件についてコメントを出していません。
