「スパイウェア」による監視という現実

　拙著に『プーチン露大統領とその仲間たち：私が「KGB」に拉致された背景』というものがある。2016年に社会評論社から上梓した。そのなかで、モスクワで拉致された筆者に対する取り調べの模様をつぎのように書いた。

　「結局、中央にいた男は「協力に合意します」と日本語で書かれたA4の白い紙を差し出した。要するに、スパイになれば、解放してやるし、今後、ロシアに来るたびに会いたい人物に会わせてやるし、報酬も支払うという。署名しなければ、スパイ容疑で逮捕し、徹底的に取り調べると脅した。」

　こんな経験をしたことがある筆者にとって、「スパイウェア」という言葉は特別の意味合いをもっている。もはや、肉体を使って諜報しなくても、こっそりとコンピューター上の情報を盗み取ることができる時代なのだ。

　ここでは、ワシントン・ポスト電子版に登場した「世界中のジャーナリストや活動家の携帯電話をハッキングするために使用されているイスラエルの民間スパイウェア」という長文の記事を中心にしながら、スパイウェアによる監視・諜報という現実について考えてみたい。

「スパイウェア」って何？

　「スパイウェアについてのガイド」という別のワシントン・ポスト電子版の記事では、「スパイウェア」が「他人のコンピューター、携帯電話、その他のデバイスから情報を収集することを目的とした悪意のあるソフトウェア（マルウェア）の総称」と定義されている。スパイウェアは、よく知られているセキュリティ上の弱点を利用して防御力の低いデバイスに侵入するものから、ソフトウェアの欠陥を利用して高度なセキュリティ対策が施された最新のスマートフォンであっても侵入できるようなものまである。記事によると、「もっとも巧妙なスパイウェアは、一般的に法執行機関や諜報機関によって導入されている」という。スパイウェアへの根強い需要がある以上、これを供給する民間企業もある。つまり、「民間市場が存在する」。

　スパイウェアが収集するのは、通話をリアルタイムで盗聴するといった従来型の諜報だけでなく、「電子メール、ソーシャルメディアへの投稿、通話ログ、さらにはワッツアップ（WhatsApp）やシグナル（Signal）などの暗号化されたチャットアプリのメッセージも収集することができる」。加えて、「連絡先、ユーザー名、パスワード、メモ、文書などを収集することができる」という。そのなかには、写真、ビデオ、音声記録も含まれる（その後の報道によると、フランスのエマニュエル・マクロン大統領など3人の大統領、パキスタンのイムラン・カーンなど10人の首相、1人の国王［モロッコのモハメッド6世］が含まれていた）。

　拙稿「LINEによる行政サービスに疑問と違和感」では、「筆者の授業を受けている学生やゼミ生にはシグナル（Signal）を推奨している。ライン（LINE）よりもずっとプライバシー保護が徹底しているからだ」と書いたことがある。末端から末端までの暗号化（end-to-end encryption）によって、送信者と受信者の間のメッセージをハッカーが傍受する「中間者攻撃」を阻止しようとしているのだが、これは、通信のどちらかの端を狙う「エンドポイント」攻撃には役立たない。スパイウェアは末端にねらい定めていることになる。

Ascannio / Shutterstock.com

「ペガサスプロジェクト」

　紹介したワシントン・ポスト電子版によると、同紙をはじめとする10カ国16の報道機関による調査（「ペガサスプロジェクト」）が行われてきた。パリに本拠を置くジャーナリズムNPO「Forbidden Stories」がコーディネートし、アムネスティ・インターナショナルが助言した調査だ。

　この二つのグループは、まず、イスラエルのスパイウェア会社NSOグループの顧客の監視対象を含む5万件以上のスマートフォンの電話番号リストを入手し、ジャーナリストたちと共有した。ついで、彼らは過去数カ月間、このリストを精査・分析した。電話番号の所有者の身元を確認し、彼らの携帯電話にNSOのスパイウェア「ペガサス」が埋め込まれているかどうかを調べたのだ。

　調査の結果、同リストに収載された、50カ国以上にまたがる1000人以上の人物を特定することができた。アラブの王族数人、少なくとも65人の企業経営者、85人の人権活動家、189人のジャーナリスト、そして600人以上の政治家や政府関係者（閣僚、外交官、軍人、警備員など）が含まれる。そのうち、リストに掲載された67台の電話機のデータを入手することができた。そのうち37台は、ペガサスの侵入を試みたか、ハッキングに成功した形跡があったという。

　なぜペガサスかというと、ペガサスは本来、テロリストや重大犯罪者の監視にのみ使用することを目的としてイスラエル政府の許可のもと、他国の政府に輸出されているはずなのに、どうやら別の目的、すなわち輸入国の反政府勢力の監視のためにペガサスが利用されているのではないかという疑念があったからである。今回の調査で、事実としてこのスパイウェア、ペガサスが人権侵害を行う側によって使用されていることがわかったことになる。

悪名高いペガサス

　ペガサスの悪名は依然からとどろいていた。2019年に刊行した拙著『サイバー空間における覇権争奪』（社会評論社）では、つぎのように書いておいた。

　「NSOグループは2000年代に入って、「ペガサス」と呼ばれる追跡システムを販売している。ペガサスはiPhone、Androids、BlackBerry、Symbian systemsを含む多くのスマートフォンに狙いを定めて、テクストメッセージはもちろん、連絡リスト、履歴、e-mail、GPS情報などを盗み出す能力をもつとされる。写真をとったり、リアルタイムに情報を送信したりすることもできる。スマートフォンについては、アップル、 グーグルなどはデータ保護のために暗号を利用しているが、NSOグループのスパイウェアが情報を盗める背景には、ソフトウェアの知られていないバグのような欠陥を利用している可能性が高い。

　2019年5月、人権活動家を狙い撃ちしたハッキング攻撃を発見したワッツアップはアプリをアップデートするように世界中の15億人の利用者に推奨した。一説には、ワッツアップで呼び出すだけで、標的のスマートフォンにマルウェアを注入しデータを盗み