米国時間1月30日のReutersの報道で、アラブ首長国連邦(UAE)政府がハッキングツールを使用してiPhoneユーザーに対するスパイ行為を行っていたことが明らかになった。このスパイ行為は、メッセージを送信するだけで実行できるものだった。
「Karma」と名付けられたこのツールを利用すると、対象となる被害者の電子メールアカウントか電話番号を自動化されたシステムにアップロードするだけで、iPhoneから写真やメッセージ、電子メール、位置情報などを取得できるという。
このサイバー攻撃はiMessageを介して実行されるもので、被害者にメッセージを送信するだけでスパイ行為が可能になり、被害ユーザーが何かをクリックしたり、メッセージを開いたりしなくても攻撃が成立する。
UAE政府はこのツールを国外から購入し、サイバー攻撃はUAE政府と契約を結んだ元米国諜報員によって実行された。Reutersによれば、実行者には米国家安全保障局(NSA)の元諜報員が含まれている。また報道によれば、スパイ行為の対象には人権運動家や反体制運動家、敵対国の指導者が含まれていた。
Reutersは、Karmaは数百人を対象として2016年から2017年にかけて使用されたが、Appleのセキュリティパッチによってツールが利用できなくなったとしている。
UAE政府とAppleは、どちらもコメントの求めに応じていない。
NSAは、同機関のすべての元職員は「インテリジェンスコミュニティによって雇用されたほかの元公務員を対象とするものと同じ、雇用契約終了後の制限の対象」となっており、「いかなる場合であっても、NSAが個人、契約業者、外国政府、ほかの米国政府機関に対して、NSAの代理として、NSAが実行することを許されていない行為を行うよう求めることはない」と述べている。
国の政府は、しばしば強力なハッキングツールを購入してスパイ行為に使用している。多くの反体制運動家にとって、デバイスがハッキングから守られているかどうかは生死に関わる問題だ。
2018年には、ある世界的なハッキングキャンペーンについての詳細が発表され、この攻撃にはレバノンの情報機関である治安総局が関与していたとされた。この攻撃では、被害者を誘導してマルウェアが組み込まれた偽アプリをダウンロードさせることで情報を得ていた。当時、レバノンの治安総局はこの発表に対し、同機関はそのような能力を持っていないと主張した。
また2016年には、イスラエルの企業NSO Groupが、国家政府に対して活動家のiPhoneから情報を盗むスパイウェアを提供していることが明らかになった。同社は、関係法令に違反することはしていないと述べている。
ハッキング用のツールには高い値段がつく場合もある。情報漏えいによって明らかになった文書によれば、ある国は、NSO Groupからデバイスの通話とカメラを制御できるスパイウェアを購入するために3200万ドルを支払ったという。
ここで挙げたすべての国家後援のハッキング事例では、被害者を誘導し、リンクをクリックさせたり、悪質なアプリをダウンロードさせたりするする必要があった。しかしKarmaの場合、メッセージを送るだけでハッキングが成立したため、UAEは幅広い対象にスパイ行為を行うことが可能だった。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
