Last Updated on 2025-07-14 16:10 by 乗杉 海
数十カ国と大手テクノロジー企業が、商用スパイウェアの濫用に対抗するために結束しました。フランス、イギリス、アメリカを含む国々と、Google、MDSec、Meta、Microsoftなどの企業が、人権侵害を行う商用スパイウェアの濫用を抑制する共同合意に署名しました。この取り組みは「Pall Mall Process」と名付けられ、商用サイバー侵入ツールの拡散と無責任な使用に対処することを目的としています。この宣言では、スパイウェアの「制御されていない普及」がサイバー空間での「意図しないエスカレーション」につながり、サイバー安定性、人権、国家安全保障、デジタルセキュリティにリスクをもたらすと指摘されています。
イギリス政府のプレスリリースによると、これらのツールが悪意を持って使用された場合、攻撃者は被害者のデバイスにアクセスし、通話を盗聴し、写真を取得し、カメラとマイクを遠隔操作できるとのことです。国家サイバーセキュリティセンター(NCSC)によると、毎年世界中で数千人がスパイウェアキャンペーンの標的にされていると推定されています。イベントに参加した国のリストには、Candiru、Intellexa(Cytrox)、NSO Group、QuaDreamなどの商業監視ベンダーを擁するイスラエルが含まれていませんでした。過去にスパイウェアの濫用と関連付けられていたハンガリー、メキシコ、スペイン、タイは誓約に署名していません。
米国国務省は、危険なスパイウェア技術の濫用に関与していると判断される個人に対してビザの発給を拒否すると発表しました。スパイウェアは、法執行機関や対テロ活動での使用を目的として政府の顧客にライセンスされていますが、抑圧的な政権によってジャーナリスト、活動家、弁護士、人権擁護者、反体制派、政治的反対者などを標的にするためにも濫用されています。これらの侵入は通常、ゼロクリック(またはワンクリック)の脆弱性を利用して、ターゲットのGoogle AndroidおよびApple iOSデバイスに監視ソフトウェアを密かに配信し、機密情報を収集することを目的としています。
Googleの脅威分析グループ(TAG)によると、約40の商用スパイウェア企業が政府機関に製品を販売しており、そのうち11社がGoogle Chrome(24)、Android(20)、iOS(16)、Windows(6)、Adobe(2)、Mozilla Firefox(1)の74のゼロデイ脆弱性の悪用と関連しているとのことです。例えば、未知の国家支援アクターが昨年、iOSの3つの脆弱性(CVE-2023-28205、CVE-2023-28206、CVE-2023-32409)をゼロデイとして悪用し、バルセロナに拠点を置くVaristonが開発したスパイウェアを感染させました。これらの脆弱性は、Appleによって2023年4月と5月に修正されました。
【ニュース解説】
数十カ国と大手テクノロジー企業が、商用スパイウェアの濫用に対抗するために結束し、人権侵害を行う商用スパイウェアの濫用を抑制する共同合意に署名しました。この取り組みは「Pall Mall Process」と名付けられ、商用サイバー侵入ツールの拡散と無責任な使用に対処することを目的としています。この宣言では、スパイウェアの「制御されていない普及」がサイバー空間での「意図しないエスカレーション」につながり、サイバー安定性、人権、国家安全保障、デジタルセキュリティにリスクをもたらすと指摘されています。
スパイウェアは、被害者のデバイスにアクセスし、通話を盗聴し、写真を取得し、カメラとマイクを遠隔操作できる能力を持っています。毎年世界中で数千人がスパイウェアキャンペーンの標的にされており、商用スパイウェア市場の成長に伴い、デバイスやデジタルシステムを侵害するサイバー攻撃の数と重大性が増加しています。
この取り組みには、スパイウェアの濫用と関連付けられていた国や企業が含まれていないことも注目されます。また、米国国務省は、危険なスパイウェア技術の濫用に関与していると判断される個人に対してビザの発給を拒否すると発表しました。スパイウェアは、法執行機関や対テロ活動での使用を目的として政府の顧客にライセンスされていますが、抑圧的な政権によってジャーナリスト、活動家、弁護士、人権擁護者、反体制派、政治的反対者などを標的にするためにも濫用されています。
Googleの脅威分析グループ(TAG)によると、約40の商用スパイウェア企業が政府機関に製品を販売しており、そのうち11社が74のゼロデイ脆弱性の悪用と関連しています。これらの脆弱性は、攻撃者が被害者のデバイスにスパイウェアを密かに配信し、機密情報を収集するために利用されています。
この取り組みは、商用スパイウェアの濫用を抑制し、サイバー空間の安定性と人権を保護するための重要な一歩です。しかし、スパイウェア市場の拡大と技術の進化により、この問題に対処するための努力は継続的に必要とされます。国際的な協力と技術企業の積極的な対策が、この問題に対処する鍵となるでしょう。
from Global Coalition and Tech Giants Unite Against Commercial Spyware Abuse.
“国際連携でスパイウェア濫用に挑む:数十カ国と大手IT企業が署名” への1件のコメント
このニュースは、現代社会でのデジタルセキュリティの重要性が如何に高まっているかを示しています。特に営業の仕事をしている私にとって、顧客や企業情報の安全性は極めて重要です。商用スパイウェアの濫用は、個人のプライバシーだけでなく、企業のセキュリティにも深刻な脅威をもたらします。そのため、数十カ国と大手テクノロジー企業が結束して、この問題に対抗する「Pall Mall Process」への取り組みは、非常に前向きなステップだと考えます。
特に、スパイウェアが法執行機関や対テロ活動での使用を目的としてライセンスされている一方で、抑圧的な政権によってジャーナリストや活動家などを標的にするために濫用されている現状は、改善が急務です。このようなスパイウェアの不正利用は、民主的な社会における表現の自由やプライバシーの権利を脅かします。
また、Googleの脅威分析グループ(TAG)によって約40の商用スパイウェア企業が政府機関に製品を販売しており、そのうち11社がゼロデイ脆弱性の悪用と関連していることが明らかにされたことは、技術の進化がいかに二重の剣であるかを示しています。技術の進