メッセージアプリへの受信だけでスマートフォンが乗っ取られ、あらゆるデータが筒抜けになる――そんな監視システムの脅威が世界的な波紋を呼んでいる。

その"標的"とされているのは、エマニュエル・マクロン仏大統領ら大統領3人、現元首相10人、国王1人。さらに50カ国以上、1,000人を超すジャーナリスト、600人以上の政治家、政府関係者など、続々とその名が明らかになっている。

"標的"と見られる5万件以上の電話番号リストが、国際的なメディア連携による調査で明らかになった。

その監視プログラム「ペガサス」によるスマートフォン乗っ取りに使われているのが、メッセージを受け取るだけで侵入されてしまい、ユーザーによるリンクのクリックが不要な「ゼロクリック攻撃」。

そして「ゼロクリック攻撃」が集中するのが、アイフォーンだ。

この問題は数年前から指摘されてきたが、今回、5万件以上の電話番号リストの存在が報じられたことで、その身近な危険度が改めてクローズアップされている。

●マクロン氏のアイフォーン

仏大統領府は7月20日、そんなリリースを発表した、とラジオ・フランスなどが報じている。

問題の発端は、その2日前の18日に明らかにされた5万件以上にのぼる電話番号の流出リストだ。

リストを入手したのは仏調査報道NPO「フォービドゥン・ストーリーズ」と国際人権団体「アムネスティ・インターナショナル」。

さらに同NPOを含む合わせて10カ国、17メディア、80人以上のジャーナリストが連携する調査報道プロジェクト「プロジェクト・ペガサス」が共同調査を実施した。

同プロジェクトの調査の結果、このリストが、イスラエルの企業「NSOグループ」の監視システム「ペガサス」を使った監視対象を示したものであるとし、このうち50カ国以上、1,000人を超す人々の身元を特定することができた、として一斉に報じた。

その中のひとつが、マクロン氏のものだったという。さらに流出リストには、2020年7月に退任した前首相、エドゥアール・フィリップ氏をはじめ、当時の14閣僚の電話番号も含まれていた、という。

現首相のジャン・カステックス氏は21日、「一連の調査を命じた」と表明。翌22日には緊急の国家安全保障会議を開催したという。また、マクロン氏は愛用のアイフォーンと電話番号を変えた、と報じられた。

「NSOグループ」は、マクロン氏は「ペガサス」提供先の"標的"ではない、と否定している。

だがマクロン氏は22日、イスラエルのナフタリ・ベネット首相に対し、電話で「適切な調査」の実施を改めて確認したという。

「ペガサス」による監視を実行していた国として、プロジェクトはモロッコである可能性を指摘している。

モロッコ政府はこれを否定。「フォービドゥン・ストーリーズ」と「アムネスティ・インターナショナル」に対し、22日に名誉棄損の刑事告訴を行った、という。

流出リストにはこのほか、イラクのバルハム・サーレハ大統領、南アフリカのシリル・ラマポーザ大統領、さらにパキスタンのイムラン・カーン首相、エジプトのムスタファ・マドブーリー首相、モロッコのサアディ・ディン・エル・オトマニ首相らの名前もある。モロッコは国王のモハメッド6世の名前もある。

また、エドゥアール・フィリップ氏のほか、イエメン、レバノン、ウガンダ、カザフスタン、アルジェリア、ベルギーの元首相6人の名前もあった。

これらを合わせると、政治家、政府関係者は34カ国で600人以上にのぼる。

●ジャーナリストを標的にする

5万件を超すという膨大な数の電話番号の流出リスト。

それらの共同調査に乗り出したのは、「フォービドゥン・ストーリーズ」のほか、下記の16メディアだ。

ガーディアン（英）、ルモンド（仏）、ワシントン・ポスト（米）、南ドイツ新聞（独）、ディー・ツァイト（同）、アリステギ・ノティシアス（メキシコ）、ラジオ・フランス（仏）、プロセソ（メキシコ）、組織犯罪・汚職報道プロジェクト（OCCRP、米）、ナック（ベルギー）、ルソワール（同）、ハアレツ／ザ・マーカー（イスラエル）、ザ・ワイアー（インド）、ダラジ（レバノン）、ディレクト36（ハンガリー）、PBSフロントライン（米）

OCCRPが、流出リストの電話番号のうち、名前が判明している260人のデータベースを作成している。

職業別に見ると、最も多いのがジャーナリストだ。データベースにまとめられているのは123人。判明している数では少なくとも188人に上るという。

「ペガサス・プロジェクト」に参加した80人を超えるジャーナリストの中には、自らの電話番号も流出リストに含まれていた人々もいた。

OCCRPに所属するアゼルバイジャンの調査報道ジャーナリスト、ハジジャ・イスマイロワ氏もそのひとりだ。データベースに登録されている、アゼルバイジャンに標的にされたと見られるジャーナリストは43人と突出している。

政府からの迫害を受け、投獄された経験もあるイスマイロワ氏は、「フォービドゥン・ストーリーズ」のインタビューにこう語っている。

このほか、インドの標的とされた可能性があるジャーナリストが24人、メキシコが23人、モロッコが14人などとなっている。

●カショギ氏の妻と婚約者

2018年10月にトルコ・イスタンブールのサウジアラビア総領事館で殺害されたサウジ人ジャーナリストのジャマル・カショギ氏の家族らも、その標的になっていたという。

ワシントン・ポストによると、カショギ氏の妻、ハナン・エタル氏のアンドロイドは、カショギ氏殺害の半年前、「ペガサス」の標的となっていた。またカショギ氏の婚約者、ハティジェ・ジェンギズ氏のアイフォーンは、カショギ氏の殺害の4日後には、「ペガサス」が侵入しており、その後、5回にわたってハッキングされていた、という。

このほか、カショギ氏の知人の元アルジャジーラのジャーナリストの携帯電話も、「ペガサス」が侵入していた、という。

ただ、カショギ氏本人の携帯電話はトルコの捜査当局に提出されており、「ペガサス」の監視対象となっていたかどうかは確認できていない。

●監視プログラム「ペガサス」とは

「アムネスティ・インターナショナル」は、「ペガサス」による侵入を検証できるプログラム「モバイル・ベリフィケーション・ツールキット（MVT）」をプログラム共有サイト「ギットハブ」で公開している。

「アムネスティ・インターナショナル」がこの「MVT」を使って「ペガサス」の侵入が疑われた67台のアイフォーンを分析したところ、23台で侵入が成功しており、14台で侵入を試みた形跡があった、という。残る30台では、端末が紛失、交換されるなどの事情で結論が出なかったという。

侵入が確認できたのは、いずれもアイフォーンだった。分析対象のうち15台はアンドロイド端末だったが、いずれも侵入の形跡は認められなかった。

これは、「アムネスティ・インターナショナル」が侵入を検知するのに必要なデータが、アンドロイドでは十分ではないことも影響しているという。

「ペガサス」は、端末からの情報収集を目的に使用される「スパイウェア」と呼ばれるプログラムの一種。スマートフォンに侵入すると、端末のあらゆる機能を乗っ取ることができるという。

通話の盗聴に加えて、「ワッツアップ」のような暗号化されたメッセージアプリの通信内容も収集可能。さらに、メール、ソーシャルメディアの投稿、通話履歴、インターネット閲覧履歴、アドレス帳、カレンダー、パスワード、メモなど、あらゆるデータを抜き出すことができるという。

さらに、スマートフォンのマイクやカメラを、所有者に気づかれずに「オン」にして録音・録画をすることもでき、GPSデータも取得できるため、位置情報や移動情報も入手可能だとしている。

これによって、スマートフォンの所有者を24時間監視することができるようになる。

NSOグループは、2021年6月に公表した透明性レポ―トで、「ペガサス」の提供先は世界40カ国、60機関に上るとしており、その内訳は51％が情報機関、38％が法執行機関、11％が軍だという。

ただ、具体的な国名などは明らかにしていない。

トロント大学ムンク国際問題・公共政策大学院の「シチズンラボ」による2016年から2018年にかけての調査では、「ペガサス」が45カ国で使用されていることが確認されている。

この中には、バーレーン、カザフスタン、メキシコ、モロッコ、サウジアラビア、アラブ首長国連邦などが含まれている。

ただ、「ペガサス・プロジェクト」による取材に対し、「ペガサス」の提供元である「NSOグループ」は今回指摘された疑惑を全面否定しており、訴訟の構えも見せている。

声明の中で、同社の技術はテロ攻撃、銃犯罪、人身売買、薬物密輸などの対策のために国家機関などに使用されており、悪用が判明した場合には使用停止措置を講じる、としている。

また、「ペガサス・プロジェクト」の取材に対し、ルワンダ、ハンガリー、モロッコ、インドの各国政府は、「根拠のない主張」などと反論している。

●「ゼロクリック攻撃」の中身

今回の「アムネスティ・インターナショナル」による検証では、「ペガサス」は様々な方法によって、標的となったスマートフォンにインストールされていたことが明らかになっている。

多くのケースで使われていたのが、メッセージアプリへの攻撃だ。

「ペガサス」のダウンロードサイトへのリンクとともに、知人などを装ったショートメッセージを送り付けるという手法は、2016年から2018年にかけて多く見られた、という。

だが、2019年から目立つようになったのが、メッセージアプリの従来は知られていなかった弱点（ゼロデイ）を悪用した「ゼロクリック攻撃」だという。

従来の攻撃では、スマートフォンの所有者がメッセージのリンクをタップ（クリック）することで、「ペガサス」がインストールされてしまう。

だが、所有者のタップすら必要なく、悪意あるプログラムをインストールするのが「ゼロクリック攻撃」だ。

「ゼロクリック攻撃」は2016年ごろから知られるようになり、いくつかの事件でも、その名前が取り沙汰されてきた。

2019年には、メッセージアプリ「ワッツアップ」の音声通話（VOIP）での弱点を悪用した「ゼロクリック攻撃」で、ジャーナリストや人権活動家、政治家、外交官など1,400人におよぶユーザーへの「ペガサス」の侵入が発覚。

親会社のフェイスブックとワッツアップは同年10月末に、NSOグループを相手取った訴訟をカリフォルニア北部地区連邦地裁に起こしている。

「ゼロクリック攻撃」では、アイフォーンにメッセージアプリ「アイメッセージ」の弱点を突くケースが多いといわれる。

2019年には、グーグルのセキュリティ研究チーム「プロジェクトゼロ」が指摘しているのを始め、トロント大の「シチズンラボ」もこの問題を取り上げてきた。

アップルもOSの更新などでこの攻撃への対処を行ってきている。だが、攻撃手法もまた、進化しているようだ。

今回の「アムネスティ・インターナショナル」による検証では、2021年5月にリリースされた「iOS 14.6」のアイフォーン12が同年7月に「ゼロクリック攻撃」で侵入されたケースも確認されたという。

●ユーザーができること

アップルは「アムネスティ・インターナショナル」による検証報告翌日の7月19日、最新版の「iOS 14.7」をリリースしている。

アップルのセキュリティ担当、アイヴァン・クリスティック氏は、ワシントン・ポストなどへの声明でこう述べている。

ユーザーとしてとれる対策は、なるべく新しい端末を使い、最新のOSに更新し続ける、ということのようだ。

ただ、ジャーナリスト、人権活動家、政治家、政府関係者、弁護士など、標的となり得る職業についているのなら、一層の警戒が必要なのかもしれない。