- WhatsAppは2019年から、NSO GroupのPegasusスパイウェアのコードへのアクセスを求めており、米裁判所はインストール層にとどまらず、関連するスパイウェアの全機能情報を開示するよう判断した
- 訴訟の核心は、Pegasusが2週間にわたりWhatsAppユーザー1,400人を監視し、暗号化メッセージを含む機密データへ無断でアクセスしたというWhatsAppの主張にある
- 米連邦地裁のPhyllis Hamilton判事は、インストール層だけではデータへのアクセス・抽出方法を把握しにくいとして、WhatsAppサーバーを標的にした、またはWhatsAppを利用した関連NSOスパイウェアまで開示範囲に含めた
- ただし裁判所は、NSOのサーバーアーキテクチャの詳細情報と顧客特定の要求は除外し、WhatsAppとCitizen Labの訴訟後のコミュニケーションを求めたNSOの申立ても棄却した
- 両当事者の専門家開示は2024年8月30日、裁判開始は2025年3月3日に予定されており、Pegasusの実際の機能範囲が本案判断の重要資料になる見通し
Pegasusの機能開示をめぐる裁判所の判断
- WhatsAppは、NSO GroupのPegasusが2019年に2週間にわたりWhatsAppユーザー1,400人を監視するために使われたと主張し、訴訟を起こした
- WhatsAppは、Pegasusが暗号化メッセージを含む機密データに無断でアクセスしたと主張している
- 当時、この訴訟は世界中の政府に高度なマルウェアサービスを販売する規制のない業界を狙った、前例のない法的措置と評価された
- NSOは米国とイスラエルの複数の制限を理由に証拠開示全体を阻止しようとしたが、包括的な差し止め要求は棄却された
インストール層だけでは不十分との判断
- 米連邦地裁のPhyllis Hamilton判事は、NSOはPegasusのインストール層情報だけを引き渡せばよいという主張を認めなかった
- 裁判所はWhatsAppの要求を認め、「関連するスパイウェアの全機能」に関する情報を提供するよう命じた
- インストール層の情報だけでは、スパイウェアがデータにアクセスし抽出する機能をどのように実行するのかを原告が理解しにくい、という判断だ
- 開示対象は、WhatsAppサーバーを標的にした、またはWhatsAppを何らかの形で利用して対象デバイスへアクセスした関連NSOスパイウェアである
- 期間は、申し立てられた攻撃を基準に1年前から1年後まで
WhatsAppが主張したPegasusの機能
- WhatsAppは、Pegasusがデバイスで送受信される通信を傍受できると主張している
- 対象サービスにはiMessage、Skype、Telegram、WeChat、Facebook Messenger、WhatsAppなどが含まれる
- Pegasusは目的に応じてカスタマイズできるという主張も含まれている
- 通信の傍受
- スクリーンショットの取得
- ブラウザー履歴の流出
開示対象から除外された情報
- Hamilton判事は、WhatsAppのすべての証拠開示要求を認めたわけではない
- NSOのサーバーアーキテクチャに関する特定の情報は開示対象から外された
- WhatsAppが関連スパイウェアの全機能情報から同じ情報を把握できるという理由による
- NSOは顧客を特定するよう強制されない
- NSOはスパイウェアを購入した政府を公に明らかにしていない
- The Guardianの報道によると、Poland、Saudi Arabia、Rwanda、India、Hungary、United Arab EmiratesがPegasusを反体制派の標的化に使用したとの報告がある
- 2021年、米国はNSOをブラックリストに載せた。その理由は「抑圧に使われるデジタルツール」を拡散した疑いだった
Citizen Lab関連の要求を棄却
- 同じ命令でHamilton判事は、NSOがWhatsAppとCitizen Labの訴訟後のコミュニケーションを開示するよう求めた申立ても棄却した
- Citizen Labはこの事件で第三者証人として参加し、NSOの顧客がPegasusを市民社会に対して悪用したというWhatsApp側の論理を裏付けている
- NSOは、WhatsAppがCitizen Labの「Pegasusはテロや重大犯罪の捜査ではなく、市民社会の構成員に対して使われた」という趣旨を事件記録から撤回すれば、当該証拠開示の必要性は大幅に下がると裁判所への提出文書に記した
- Hamilton判事は、求められた証拠開示の関連性を認めにくいとして、NSOの要求を受け入れなかった
残る手続きと反応
- NSOは今回の命令について、まだコメントしていない
- WhatsAppの広報担当者はThe Guardianに対し、今回の判決は違法な攻撃からWhatsAppユーザーを守るという長期目標における重要な節目だと述べた
- 広報担当者は、スパイウェア企業と悪意ある行為者は、捕まる可能性があり、法律を無視することはできないと理解すべきだと述べた
- 裁判所は、両当事者の専門家開示を2024年8月30日に受ける予定
- 裁判は2025年3月3日に始まる見込み
1件のコメント
Hacker News のコメント
NSO が「米国とイスラエルの各種制限」を理由に証拠開示手続き全体を止めようとしたものの、退けられたというアプローチが興味深い。
米国の裁判所は、他国の制限であるイスラエルの規則をそれほど気にしない可能性が高い。
米政府は公式には Pegasus をブラックリストに載せているが、https://arstechnica.com/tech-policy/2021/11/us-blacklists-ma...、米国の情報機関の一部が今も使っていても驚きではない。
そうだとすれば、Pegasus が機密情報の公開や国益の侵害を根拠に、米国の情報機関へ訴訟を止めるよう求めることもあり得る。
ある日突然「何か」が起きて、事件が謎めいて棄却されるのかを見るのは興味深そうだ。
単に Pegasus を使っている同盟国の情報機関に成果物を求めて受け取るほうが、はるかに簡単だ。
腕一本分だけ距離を置いた収集方法のほうが、法的リスクは低い。
ただし米国の裁判所で国家安全保障を主張するには不利だ。「このソフトウェアを使っているのか?」「公式には使っていない」「では何を根拠に国家安全保障を主張するのか?」となるからだ。
Snowden の暴露からもかなり時間が経ったし、当時見たものだけでも信じがたいものだった。
今、情報機関が何を使っているのかは想像もつかない。
機関が保有し使用できるものに比べれば、Pegasus がいったい何ほどのものなのかと思う。
この件がよく理解できない。
すでに米政府がブラックリストに載せた外国のイスラエル系スパイウェア企業に、なぜ米国裁判所の管轄権が生じるのか分からない。
また、イスラエル側が敗訴したとしても、なぜ WhatsApp にスパイウェアのソースコードを送るのかも疑問だ。
対応しなければ欠席判決となり、裁判所は米国が手を出せる資産の差し押さえを命じられる。
イスラエル国外の国々でシェケル建てで代金を受け取っていたとしても、両替の過程でドルが媒介通貨として入ってきて、そこが米国の足掛かりになる。
フランスでもとんでもないことがあった。
米国は巨大なフランス企業 Alstom を事実上破綻に追い込み、安値で買い取り、その後 Airbus も潰そうとした。
どちらのケースでも、米国は自らに認めた域外適用という権利を使った。
この話はこのドキュメンタリーに記録されている: https://www.arte.tv/fr/videos/093798-000-A/la-bataille-d-air...
以前は YouTube でも https://youtu.be/Sa22eu1FWyo で見られたが、今は非公開に変わったようだ。不都合な暴露だったのだろうか。
FATCA も同じ理由で可能になっている。
政府がいつも口にする「国際的な自由主義秩序」というものだ。
イスラエルは米国裁判所の判決を尊重し執行するという条約に署名しており、米国もイスラエル裁判所の判決を尊重し執行するという条約に署名している。
だから米国の裁判官が命令に署名してイスラエルの裁判官に送れば、イスラエルの裁判官が執行し、その逆も同じだ。
もちろん訴訟を無視することもできるが、そうなれば関係者は二度と米国に入国しないほうがいい。
そもそも彼らの運営方法は見た目からして犯罪性が強いので、元従業員全員に米国入国を避けるよう勧めたいくらいだ。
言及されている他のプラットフォームの一つが Signal なのか気になる。
だからといって脆弱性がそのアプリにあったとか、アプリの責任だったという意味ではない。
結局これはプラットフォーム、特に iOS と Apple、そしてエクスプロイト開発者・ブローカーの間の問題だと理解している。
だから Apple は彼らを嫌っているのだ。
良くも悪くも Apple に圧力をかけることは、他のユーザーにとっても概ね良いことかもしれない。
逆に、Apple はこうした問題にもっときちんと向き合い、セキュリティ研究者への報奨金をもっと引き上げるべきだとも言える。
20年前よりは良くなったが、巨大企業が発見に対してはした金を払うのを期待するより、こうした怪しげな主体にエクスプロイトを売るほうが、今でも儲かる可能性が高い。
参考までに、https://grapheneos.org/ と https://signal.org/ が存在する。
あるスパイウェアがデバイス上で ring0 レベルのアクセス権を得たなら、Signal のようなアプリのセキュリティ特性はあまり意味がない。
スパイウェアが非常に簡単にアクセスできるからだ。
イスラエルがソースコードの持ち出しを許可するはずがない。
Pegasus が敗訴したとしても、なぜ本物のソースコードを WhatsApp に送らなければならないのか理解できない。
ただデタラメな内容を送ればいいのではないか。何か見落としているのだろうか。
NSO Group、さらにはイスラエルが、なぜこのスパイウェアのせいで制裁を受けていないのか理解できない。
この会社は、悪用されやすいツールを西側の最悪の反民主主義的な敵に売る危険な会社だ。
政治のためだ。
赤道ギニアがその一例で、独裁者ObiangとExxonMobilの契約が関係していた。
Steve Collは『Private Empire: ExxonMobil and American Power』(2012)でこう書いている。
標的となる国にはまったく良くないが、イスラエルと米国の情報機関には有利だ。
だからサイバーセキュリティ分野で働きたくない。
危険な人たちを相手にしなければならないからだ。
そしてサイバーセキュリティは範囲が非常に広い。
多くの役割は、従業員にセキュリティの原則や手順を教育し、データ分類を実装する仕事に近い。
誰もが直接攻撃を扱うわけではなく、大半は予防業務だ。
うちの会社では、技術的にサイバーセキュリティの仕事をしている人のうち、攻撃を直接扱う割合はおそらく20%未満だ。ただし、うちのSOCを外部委託している影響もある。