政府向けスパイウェア販売時に製造元企業が行う販売先国家の「採点」方法 ～ 五ヶ国超のＥＵ圏顧客の存在を認める

　NSO Group が先週、同社の悪名高いスパイウェアである「Pegasus」を利用している顧客の数は「50 組に満たない」と欧州議会で発言した。しかし、その顧客の中に「5か国を超える」EU の国々が含まれているとも同社は述べたのだった。

　6 月 23 日に開かれた欧州議会の委員会は、NSO Group の法務担当役員を務めるチェイム・ゲルファント氏に対して具体的に同社の取引相手を挙げるよう質問したが、同氏は回答を拒否した。

　その代わり、ゲルファント氏は NSO Group お決まりの台詞を何度も繰り返した。同社はスパイウェアを政府機関のみへと販売しており、民間企業や個人とは取引をしておらず、その目的も「テロ活動やその他の重大な犯罪を未然に防ぎ、調査する」ことだけに限られるのだそうな。

　NSO Group のスパイウェアの基本的な仕組みについて説明しよう。セキュリティの脆弱性を突くことによって、NSO Group との契約者はターゲットの携帯電話やその他の端末へとスパイウェアをこっそりと仕込むことができる。インストールが完了してしまえば、スパイウェアは密かにターゲットの通話や、メッセージや、その他の活動を嗅ぎまわることができる。スパイウェアのコードをインストールさせる方法としては、ターゲットへと普通のメッセージに見せかけたトラップを送るなどがある。そのメッセージが受信され、端末によって自動的に処理されると、スパイウェアが知らぬ間に展開し、スパイ行為を始めるのである。

　こうしたツールは「法執行機関や政府機関のみが利用することを許可されている」とゲルファント氏は述べ、「そうした機関の数も限られており、合法的な使用しかできないように契約も注意深く結んでいる」と付け加えた。