「標的」のスマホに監視ソフト、ワッツアップのぜい弱性から侵入か

デイヴ・リー、北米テクノロジー記者

WhatsApp logo Image copyright Getty Images

ソーシャルメディア大手フェイスブック傘下のメッセージアプリ「ワッツアップ」は13日、ハッカーが同サービスの脆弱性(ぜいじゃくせい)を利用し、一部利用者のスマートフォンに監視ソフトを埋め込むサイバー攻撃を仕掛けていたと明らかにした。

この攻撃には「熟練の」ハッキング技術が使われており、「ごく一部の」ユーザーを標的にしていたという。この脆弱性に対する措置は10日に行われている。

ワッツアップは13日、対策として世界のユーザー15億人にアプリのアップデートを促した。

今回のサイバー攻撃は5月初め、英経済紙フィナンシャル・タイムズが報じて明らかになった。

ワッツアップの音声通話機能を使って相手のスマートフォンにアクセスする手法で、相手が通話に出なくても監視ソフトがインストールされてしまう。フィナンシャル・タイムズによると、この通話記録はスマートフォンの履歴から消えてしまうことがあるという。

ワッツアップはBBCの取材に対し、まずセキュリティーチームが欠陥を特定し、5月初めにその情報を人権保護団体や一部のセキュリティー企業、米司法省などと共有したと説明した。

また13日のマスコミ発表では、「このサイバー攻撃は、特定の民間企業によるものとしか考えられない特徴だらけだった。この企業は複数の政府と共に、携帯電話のオペレーティングシステム(OS)を乗っ取るスパイウェアを開発していると伝えられている」と話した。

ワッツアップは併せて、セキュリティー専門家に対する勧告も発表している。

<関連記事>

フィナンシャル・タイムズは、ワッツアップへの攻撃はイスラエルのセキュリティー企業で、過去に「サイバー攻撃の武器商人」とも評されたNSOグループによるものだとしている。

NSOグループの主要ソフトウエア「ペガサス」は、標的とした端末のマイクやカメラ機能から重要なデータを収集することができる。

NSOグループは声明で、「NSOの技術は、サイバー攻撃やテロ対策という唯一の目的のために、公認政府機関の認可を受けている」と説明した。

「当社がシステムを運営しているわけではない。厳格な認可・審査プロセスの後、情報・司法当局が当社技術をどのように公共安全の支援に使うかを判断している。我々は当社技術を悪用した疑惑は全て調査し、必要であればシステムのシャットダウンを含む措置を取る」

「情報・司法当局だけが運営している当社技術について、いかなる状況下でも、NSOがその運営や標的の特定に関わることはありえない。NSOは、その技術を自社判断で個人や組織を標的にして使うことはできないし、そうしたこともしていない」

ワッツアップは、今回の攻撃は標的を限定したものだったとする一方、発覚した脆弱性によってどれだけのユーザーが影響を受けたかはまだ分からないと話した。

人権擁護団体アムネスティ・インターナショナルは、こうした攻撃は人権団体が以前から懸念してきたことだと述べた。アムネスティも過去に、NSOグループの技術によってサイバー攻撃の標的となっている。

アムネスティの技術部門のダナ・イングルトン氏は、「(NSOの技術では)こちらが操作をしなくても、我々の携帯電話を侵食できる」と話した。

また、著名な活動家やジャーナリストを監視するため、さまざまな国家がこうしたツールを使っている証拠が数多く見つかっているという。

アムネスティは、イスラエル国防省にNSOグループ製品の輸出を中止するよう求める署名活動を行っており、テルアビブの裁判所は14日に公聴会を開く予定。

(英語記事 WhatsApp discovers surveillance attack

この話題についてさらに読む