カナダのトロント大学の研究機関「シチズン・ラボ」は、監視アプリ「ペガサス」の悪用を調査していた欧州議会の委員会のメンバーのスマートフォンが、同アプリによってハッキングされていたと発表しました。政府が批判的な人物の情報を収集するために監視アプリを悪用しているとして、新たな波紋を呼んでいます。
被害に遭ったのは、ギリシャのジャーナリストで元政治家のステリオス・クーログルー氏です。同氏は、欧州各国政府による監視ツールの攻撃を調査する欧州議会の「PEGA委員会」に所属していました。シチズン・ラボによると、2022年から2023年にかけて同氏の端末がハッキングされたということです。同委員会のメンバーがスパイウェアの被害者として公表されるのは初めてだとしています。
報告書によると、ハッキングは2022年10月と2023年3月に少なくとも2回行われました。アップル社のiPhoneのソフトウェアに存在した脆弱性が悪用されたということです。この攻撃は、利用者が何も操作しなくても端末に侵入してデータを盗み出す「ゼロクリック」と呼ばれる手法で行われました。これにより、テキストメッセージや位置情報、写真などのプライベートなデータが気づかれないまま流出したとみられています。
最初のハッキングが起きた2022年10月は、キプロスやギリシャなどでの監視アプリ悪用に関する報告書の草案提出に向け、委員会内で活発な議論が行われていた時期と重なります。また、クーログルー氏が手術のために入院していた時期でもあり、病室での会話などが盗聴された可能性もあるということです。さらに、2023年3月のハッキングは、同氏がアテネからブリュッセルへ移動する際に行われました。
シチズン・ラボは、攻撃を行った具体的な国名は特定していません。しかし、過去に欧州のジャーナリストを標的とした際と同じメールアドレスが使用されていたと指摘しています。このことから、攻撃者は開発元であるイスラエルのNSOグループから、欧州の複数の国をまたいで監視を行う権限を与えられていた可能性が高いとしています。
クーログルー氏は取材に対し、「自身の極めて私的なデータがすべて奪われたことに強い憤りを感じる」と述べ、NSOグループを提訴する方針を明らかにしました。また、欧州議会の別の議員は「法の支配への直接的な攻撃だ」として、欧州委員会に対し、加盟27カ国における監視アプリの使用を厳格に制限するよう求めています。
NSOグループの監視アプリは、人権侵害につながるとして、アメリカ政府の業務での使用が原則として禁止されています。一方で同社は昨年、人権侵害に関与したとされるブランドイメージの回復を図る目的で、アメリカの匿名の投資グループから数千万ドル(数十億円)の資金提供を受けたとされています。
なお、欧州委員会およびNSOグループは、今回の件に関するコメントの要請に応じていないということです。
