Meta社が所有するWhatsAppで、ジャーナリストや市民活動家約90名を標的としたスパイウェア攻撃が発生しました。
イスラエルのParagon Solutions社製のスパイウェアを使用し、「ゼロクリック」方式でユーザーの操作なしでスパイウェアが展開されました。
攻撃はWhatsAppのグループチャットを通じて細工されたPDFファイルを配布する形で行われ、2024年12月に攻撃者を無力化。被害者への通知も実施済みです。
from:Meta Confirms Zero-Click WhatsApp Spyware Attack Targeting 90 Journalists, Activists
【編集部解説】
イスラエルのスパイウェア企業Paragon Solutionsによる攻撃事案について、innovaTopiaの編集部から詳しい解説をお届けします。
攻撃手法の特徴と深刻性
今回の攻撃で特に注目すべきは「ゼロクリック」という手法が使用されたことです。ユーザーが何も操作しなくても感染するため、セキュリティ意識の高い標的でさえも防御が困難です。
Paragonが開発したGraphiteスパイウェアは、一度感染すると端末のカメラやマイクを遠隔操作できるだけでなく、暗号化された通信内容まで読み取ることが可能です。これは単なる情報漏洩以上の深刻な脅威といえます。
監視技術産業の構造的問題
Paragonは「倫理的なツール」を提供していると主張していますが、今回の事件は監視技術産業全体の構造的な問題を浮き彫りにしています。民主主義国家向けと謳いながら、実際には市民社会への監視に使用されているという実態が明らかになりました。
法規制と市場の動向
興味深いことに、Paragonは2024年12月に米国の投資会社AE Industrial Partnersによって買収され、さらに米国移民税関捜査局(ICE)と200万ドルの契約を結んでいます。このように、監視技術企業が政府機関との取引を通じて正当性を得ようとする動きが見られます。
テクノロジーの両義性
確かに、Graphiteのような高度な監視技術は、テロや重大犯罪の捜査には有用なツールとなり得ます。しかし、今回のように市民社会のメンバーを標的とした使用は、プライバシーの権利と表現の自由を著しく侵害する可能性があります。
今後の展望
WhatsAppによる法的措置の検討は、2024年12月にNSO Groupとの訴訟で勝訴した直後のことです。この流れは、スパイウェア産業に対する法的規制強化の新たな転換点となる可能性があります。
私たちユーザーにとって重要なのは、こうした脅威が存在することを認識しつつ、必要なセキュリティ対策を講じることです。特に、WhatsAppなどのメッセージングアプリを利用する際は、最新版への更新を欠かさないことが重要です。