欧州議会を標的にしたスパイ活動:Pegasus調査委員の端末もハッキング
(citizenlab.ca)- ギリシャの調査報道記者出身で元欧州議会議員の Stelios Kouloglou のiPhoneが、PEGA Committeeでの活動期間中に Pegasus に繰り返し感染していたことが確認された
- 感染時期は2022年10月21日と2023年3月6〜7日で、公聴会・報告書草案・各国訪問の準備など、非公開のコミュニケーション が多かった時期と重なる
- 最初の感染は、HomeKitメール
rauharepo888[@]gmail.comを参照した直後にPegasusプロセスがモバイルデータを使用した痕跡と結び付いており、PWNYOURHOME ゼロクリックエクスプロイトと評価されている - 特定の政府が背後にいるとはされておらず、ギリシャ政府の関与を示す兆候もないが、同じHomeKitメールはロシア語・ベラルーシ語圏の亡命ジャーナリストや活動家を標的としたPegasusキャンペーンでも確認されている
- 欧州議会の構成員や職員の端末に対する包括的な検査がなければ、PEGA Committeeの機密通信と議会手続きが 傭兵型スパイウェア にどの程度さらされていたのか把握するのは難しい
PEGA Committee活動中に確認されたPegasus感染
- Stelios Kouloglou は、2015年に欧州議会入りしたギリシャの調査報道記者出身の政治家
- 2022年3月24日から2023年7月18日まで、Pegasusおよび類似の監視スパイウェアの使用を調査する欧州議会の PEGA Committee の代理委員を務めた
- PEGA Committeeは、2021年のPegasus Projectと関連報道を受け、欧州各国政府がジャーナリスト・活動家・政治家・市民を監視していたという暴露を背景に、2022年3月10日に設置された
- 委員会の任務は、EU法に違反したスパイウェア使用の範囲を調査することであり、調査対象は “Pegasus and equivalent surveillance spyware” だった
iPhoneフォレンジック結果
- 2026年5月、KouloglouがCitizen Labに連絡し、iPhoneアーティファクトのフォレンジック分析でPegasus感染が確認された
- 高い信頼度で確認された感染時点は、2022年10月21日前後 と 2023年3月6〜7日
-
2022年10月21日の感染
- 10:16にHomeKitメールアドレス
rauharepo888[@]gmail.comの参照があり、2分後にPegasusプロセスがモバイルデータを使用していた - この感染は PWNYOURHOME ゼロクリックエクスプロイトによるハッキングと評価されている
- PWNYOURHOMEは、攻撃者が細工したNSKeyedArchiveをHomeKitに送り、その後悪意あるコンテンツがMessagesBlastDoorServiceに到達する仕組みとみられる
- AppleはiOS 16.3.1でHomeKit関連の問題を緩和し、MessagesBlastDoorServiceの問題はそれより前、おそらくiOS 16.1で修正したと評価されている
- 10:16にHomeKitメールアドレス
-
2023年3月6〜7日の感染
- 2023年3月6日09:49から3月7日07:30の間にもPegasus活動が確認され、同じエクスプロイトに関連していた可能性がある
- 2022年と2023年の感染時、端末は iOS 15.5 (19F77) を実行していたと評価されている
- 利用可能なフォレンジックデータの限界により、検出されなかった追加感染の可能性は排除できない
Appleの脅威通知と利用者の認知の問題
- フォレンジック分析では、KouloglouはAppleの傭兵型スパイウェア標的化に関する脅威通知を3回受け取っていた
- 2023年3月2日
- 2023年8月29日
- 2024年4月10日
- Appleや他社の脅威通知はリアルタイム警報ではなく、通常は標的化から数か月以上たってから 一括送信 されることが多い
- Kouloglouは、確認されたApple通知を受け取った記憶はないと述べている
- 複数回脅威通知を受けた対象者であっても、実際にはそれに気づかない可能性がある
最初の感染時期:報告書草案・公聴会・各国訪問準備と重なる
- 最初の感染日である 2022年10月21日 は、PEGA Committeeの審議と調査が特に活発だった時期と重なる
- 感染直後には次の公聴会が予定されていた
- “Big Tech and Spyware” — 2022年10月26日
- “Spyware and e-privacy” — 2022年10月26日
- スパイウェアと基本権に関する公聴会 — 2022年10月27日
- 委員会は最初の報告書草案の発表も準備しており、草案は委員と補佐スタッフの間で議論・回覧されていた
- Kouloglouは、最初の感染日がテキストメッセージとメールを中心とした 集中的な議論とやり取り の時期と重なっていたと確認している
- 最初の PEGA Committee報告書草案 は、2022年11月8日にSophie in ’t Veld議員が発表した
- 草案は、ポーランド、ハンガリー、ギリシャ、キプロス、スペインでのスパイウェア疑惑を扱っていた
- PEGA Committeeは2022年11月1〜4日のギリシャとキプロス訪問も準備しており、Kouloglouはその計画と訪問に参加していた
- 端末はこの訪問開始の10日前にハッキングされており、当時は訪問に関する通信が交わされていた
病院内での感染と医療情報流出の可能性
- 2022年10月21日の感染当日、Kouloglouは選択手術のためギリシャの病院に入院していた
- ギリシャの調査報道記者 Thanasis Koukakis が病室を訪れていた
- Koukakisは、ギリシャにおける傭兵型スパイウェア問題を綿密に取材してきた人物
- 彼は前月にPEGA Committeeで証言していた
- 2022年3月、Citizen LabはKoukakisがIntellexaのPredatorスパイウェアの標的だったことを確認した
- 感染が病院入院中に発生したため、病室内の会話や医療スタッフとのやり取り、予約・検査結果・診断などの 健康関連情報 が端末から傍受された可能性がある
- ギリシャ法では健康関連データは特別カテゴリの個人情報として強化された保護の対象であり、このハッキングはギリシャ刑法上のLaw 4624/2019における医療情報の秘密保護に関わる可能性がある
2回目の感染時期:最終報告書の議論と重なる
- 2回目の感染は 2023年3月6〜7日 に発生した
- Kouloglouによれば、この時期PEGA Committeeは最終草案の作成過程に関して集中的な議論を進めていた
- Kouloglouは2023年3月6日にアテネからブリュッセルへ移動し、感染期間である3月6〜7日はブリュッセルに滞在していた
- 同時期、PEGAのrapporteurであるSophie in ’t Veld議員はLIBE Committeeの任務でギリシャにいた
- LIBE Committeeは、人権、データ保護、亡命、移民、差別禁止に関する立法と民主的監督を担う欧州議会の常任委員会
- この任務でLIBE代表団は、ギリシャのNational Transparency Authorityの長官と関係者に対し、ギリシャのスパイウェアスキャンダルについて質問した
- 2回目の感染後もPEGAの公聴会とスペイン調査訪問は続いたが、Kouloglouはスペイン訪問には参加しなかった
- この感染は、2023年5月8日の最初のPEGA Committee報告書採択のおよそ2か月前に発生した
- KouloglouとThanasis Koukakisは2023年3月6〜7日前後にWhatsAppで面会を仮予定していたが、実際の対面は実現しなかった
欧州議会議員を標的にしたスパイウェア事例
- PEGA Committee在任中にPegasus被害者として公に確認された委員は、Kouloglouが初めて
- PEGA Committee設置前にも、欧州議会議員を狙った公表事例があった
- カタルーニャ選出MEP Diana Riba の端末は2019年10月に感染
- カタルーニャ選出MEP Jordi Solé は、欧州議会の議席を引き継ぐ直前の2020年6月に標的となった
- Clara Ponsati と Carles Puigdemont は、補佐スタッフまたは家族を通じて標的となった
- Riba、Solé、Puigdemontはその後PEGA Committeeに参加し、PEGA Committeeで自身の経験を証言した
- PEGA Committeeの外でも、欧州議会を標的にした事例は続いている
- 2024年2月、Politicoは安全保障・防衛小委員会所属の議員らが、2台の端末でスパイウェアの痕跡が見つかった後、携帯電話の検査を求められたと報じた
- フランスのMEP Nathalie Loiseau はPegasusの標的だったことを確認した
- 欧州議会IT Servicesは、ブルガリアのMEP Elena Yoncheva に対し、2023年10月末に端末が標的化されたと通知した
- 2024年5月、ドイツのMEP Daniel Freund はCandiruの傭兵型スパイウェアの標的になったと発表した
背後関係の判断と残る限界
- Kouloglouの端末がNSO Groupの Pegasus傭兵型スパイウェア に標的化され感染したという判断は、高い信頼度を持つ
- 特定のNSO Group顧客が背後にいるとは特定されていない
- ギリシャ政府がこのハッキングの主体であることを示す兆候はない
- ギリシャがNSO Group顧客、あるいはPegasus利用者だったという報告はない
- ギリシャ政府はIntellexaのPredator傭兵型スパイウェアを広範に乱用したことで知られているが、ギリシャの治安・情報機関がPegasusへのアクセス権を持っていたことを示す技術的指標はない
- 2022年のKouloglou標的化と、2024年5月の Access Now共同報告書 で扱われた標的化の間には接点がある
- この報告書では、欧州を拠点とするロシア語・ベラルーシ語圏の独立ジャーナリストおよび野党活動家7人がPegasusで標的化または感染したとされている
- その報告書で匿名化されていたApple IDの1つ
rauharepo888[@]gmail.comは、Kouloglouを狙ったHomeKitメールと同一である - この期間のPegasus感染インフラに関する理解から、こうしたメールは特定の運用者に固有であると判断される
- 2023年の2回目の感染が同じ運用者によるものか、別の運用者によるものかは確認できない
- 感染は少なくとも ギリシャとベルギー という2つの欧州法域で存在していたとみられる
- NSO Groupのライセンスに関する既存知識によれば、これは複数のEU法域で感染を可能にするライセンスを持つ顧客である可能性を示唆する
民主的手続きと議会機密への影響
- PEGA Committee委員の端末感染は、委員会活動中の厳格に機密な通信や、機微な議会手続きが露出していた可能性を意味する
- 露出対象には、PEGA Committee構成員と補佐スタッフの間の通信、および委員会が調査していた当事者に関する機微な手続きが含まれる可能性がある
- 他のPEGA Committee委員や補佐スタッフの端末状況は不明であり、包括的な検査がなければ同様の感染の有無を確認する方法はない
- この事例は、傭兵型スパイウェアが 民主的手続きの完全性 に与える脅威を浮き彫りにしている
- 欧州議会議員の端末が傭兵型スパイウェアに標的化またはハッキングされたのは今回が初めてではなく、規制されない傭兵型ハッキングの腐食的な性質を示している
勧告事項
- EU機関は、EUの個人データと手続きへの侵害の範囲と規模を確認するため、直ちに調査を開始すべきである
-
MEPと補佐スタッフ
- PEGA Committeeに参加したMEPと補佐スタッフは、直ちに スパイウェア感染のフォレンジック検査 を受け、標的化された可能性のある業務用・個人用端末を保全すべきである
- Directorate-General for Information Technologies and Cybersecurity (DG ITEC) がスパイウェア検査を提供している
- 国家支援型攻撃の警告に注意を払い、警告を受けた場合は速やかに専門家の支援を受けるべきである
- EUのMEPは、iPhoneの Lockdown Mode とAndroidの Advanced Protection を有効化すべきである
- これらのモードは、傭兵型スパイウェアに対する端末保護を大幅に高める
- DG ITECは追加のサイバーセキュリティ指針を提供できる
-
欧州議会とEU機関
- 欧州議会は、MEPと議会手続きを狙ったスパイウェア攻撃を直ちに調査すべきである
- 時間が経過した攻撃であるため、フォレンジック痕跡の喪失を防ぐ迅速な調査が必要である
- 議会は、Parliamentと議員に対するサイバー・監視脅威を扱う 年次報告書 を委託すべきである
- European Parliamentary Research Serviceまたは他の機関が作成できる
- DG ITECは、端末検査率を大幅に高める計画を策定し、検査端末数と検出率に関する年次統計を公開すべきである
- DG ITECは、AppleやGoogleのような企業による国家支援型攻撃の警告について、MEPと補佐スタッフ向けに具体的な指針を定期的に配布すべきである
- 欧州委員会は、委員と職員が傭兵型スパイウェアの標的になっていたかを確認するため、自主的な調査と検査を行うべきである
- CommissionのDG DIGITは、定期検査とともに包括的なスパイウェア検査・対応能力を構築すべきである
-
PACE、各国議会、技術企業
- Parliamentary Assembly of the Council of Europe (PACE) は、過去の欧州内における傭兵型スパイウェア乱用に関する委員会活動を踏まえ、構成員と職員が標的化されていたかを調査すべきである
- CouncilのDirectorate of Information Technologyは、関係機関と協議し、PACE構成員と職員に傭兵型スパイウェア標的化の兆候がないか定期的に検査すべきである
- 各国議会のセキュリティサービスと監督機関は、DG ITECの議員端末検査手法モデルを参考にして議員を保護すべきである
- 技術企業は、脅威通知の受信者が実際に警告を見て理解し、対応できるよう、UX調査も含めて通知方法を改善すべきである
1件のコメント
Hacker News の意見
2026年5月に Kouloglou が Citizen Lab に連絡し、彼の iPhone から得られた痕跡をフォレンジック分析したところ、2022年10月21日前後、および2023年3月6〜7日に Pegasus スパイウェアへの感染が成功していたと高い確度で判断された、という内容
Kouloglou は Citizen Lab が確認した Apple の通知を受け取った記憶がないと言っていたが、これは Apple が監視されていると知らせたのに彼が無視した、という意味に理解してよいのか疑問
Apple や他社の脅威通知がリアルタイムではなく、通常は標的型攻撃の数カ月以上後にまとめて送られるというのは衝撃的
Apple が脅威を検知できるのに除去も阻止もせず、ユーザーに知らせるまで数カ月間黙って待っているという意味なら、これがセキュリティ劇場でなくて何なのか分からない
最初の感染が、欧州のロシア語・ベラルーシ語圏の亡命ジャーナリストや活動家を狙った既存の Pegasus キャンペーンと重なる点が興味深い
「複数の欧州諸国で監視する権限」を持つ Pegasus 顧客が誰なのかが問題
言及されているロシア亡命者事件についての以前の記事 [0] では、オランダとエストニアが国外で Pegasus を使ったとされているが、そうしたライセンスを持つところはほかにもあるかもしれない
ロシア亡命者事件と Kouloglou 事件が同じ攻撃手法でつながるなら、エストニアのような国のほうがよりありそうに見える。ただし、Pegasus へのアクセス権を持つ機関が、権限のない機関と協力したり、代わりに使ったりした可能性は常にある
[0] https://www.accessnow.org/publication/hacking-meduza-pegasus...
大きなモノリシックカーネル、不要なテレメトリ・マーケティングサービス、レガシー API、C のような安全でない言語、静的解析の不足といったソフトウェアアーキテクチャ上の選択の問題ではないかと思う
携帯電話はすでに汚染された土地のように扱い、重要なものは置かないほうがよい
一部の指導者はそもそもスマートフォンを使っていないため、電子スパイウェアから守られている
一部の銀行、チャット、デーティング、Uber のようなサービスはモバイル専用
その頃、ギリシャの政治家の携帯電話が Pegasus で多数ハッキングされていた
ギリシャではまだ完全には解決していないスキャンダルで、すべての証拠は首相府が現地の情報機関と連携して行った作戦であることを示している
だからこれを欧州議会への攻撃と呼ぶのは難しいと思う
https://notesfrompoland.com/2026/02/26/poland-charges-former...
ハンマーを持っていると、すべてが釘に見える
興味深いのは、同じ携帯電話を通じて個人の医療機密情報と政府の機密文書の両方が流出した可能性を示唆している点
欧州議会には業務用端末と個人用端末を分けるポリシーがないのか?
業務時間と私的時間がしばしば曖昧になることを考えると理解はできる
医療情報が携帯電話の中に入っていたわけではない
カタルーニャ出身の欧州議会議員も Pegasus の標的になった。詳細は覚えていないが、当時の顧客は国家だけだったので、スペインがそのサービスを雇ったということになる
何も起きなかった
近いうちに、誰かに何かを強制する法律を急いで作るか、誰かに巨額の罰金を科して、すばやく片付けることになりそう
誰かが責任を取らなければならない
iOS の Lockdown Mode でこれを防げるのだろうか?
ただし攻撃面を減らすため、意図的にスマートフォンが非常に低機能な電話のようになる
実用的なのは、SMS と通常の電話網での通話を送受信し、時刻を確認する程度の単純な端末だけが必要な場合
文脈上、一部の欧州諸国は Pegasus のようなスパイウェアをあまりにも乱用したため、イスラエル企業が関係を断つほどで、下記のイタリアの事例がその一つ
ほかの人たちはギリシャとポーランドにも言及していた
欧州議会議員が、無実のジャーナリスト、活動家、場合によっては一般市民が受けているのと同じ監視の対象になったというのは皮肉
しかもそれを EU 加盟国が行い、イスラエル企業によるマルウェア開発と拡散に直接貢献する形でやっている
https://www.bbc.com/news/articles/cvgmzdjw24yo
同じ相手には別の下位販売会社を通じて、今後も製品が提供されるだろうと予想している