NSOグループは訴訟後もWhatsAppのゼロデイを悪用したと裁判所の文書が示す

NSOグループテクノロジーズ株式会社は、メッセージング企業が連邦および州のハッキング法違反でイスラエルの監視企業を訴えた後も、複数のゼロデイWhatsAppの脆弱性を利用したスパイウェアの開発を続けていたことが、木曜日に公開されたメッセージアプリとその親会社Metaによる裁判所の提出書類で明らかになりました。

裁判所の提出書類によると、NSOは、メッセージングプラットフォームが2019年5月に脆弱性を検出してブロックした後も、ターゲットデバイスに電話をかけることでWhatsAppサーバーを使用してPegasusスパイウェアをインストールし続けていました。

この告発は、ジャーナリスト、反体制派、そして人権擁護者を含むWhatsAppユーザーに対する一連のサイバー攻撃に起因しています。

「NSOは、訴状に記載されたスパイウェアを開発し販売したことを認めており、NSOのスパイウェア、特に「エデン」と呼ばれるゼロクリックインストールベクターが、総称して「ハミングバード」として知られるWhatsAppベースのベクターの一部であり、訴状に記載された攻撃の責任があることを認めています。NSOの研究開発責任者は、これらのベクターが原告によって主張された通りに正確に機能したことを確認しています。」と裁判所の提出書類には記されています。

NSOは、NSOの顧客が約1,400台のデバイスに対してエデン技術を使用したことを認めています。攻撃が検出された後、WhatsAppはエデンの脆弱性を修正し、NSOのWhatsAppアカウントを無効にしました。しかし、エデンの脆弱性は2019年5月にブロックされるまでアクティブなままでした。

それにもかかわらず、監視企業は「エリセド」として知られる別のインストールベクターを開発し、ゼロクリック攻撃でWhatsAppサーバーを使用してPegasusスパイウェアをインストールしたことをNSOは認めました。この脆弱性は、WhatsAppが2019年10月に同社を訴えた後も、2020年5月以降にメッセージングプラットフォームのさらなるセキュリティ変更がアクセスをブロックするまで、NSOの顧客にとってアクティブで利用可能であったと報じられています。

NSOの証人は、スパイウェアメーカーがその後もWhatsAppベースのマルウェアベクターの開発を続けたかどうかを確認することを拒否したと報じられています。

同社は、従業員が自分自身や顧客のためにマルウェアを開発するためにWhatsAppアカウントを作成し使用したことを認めました。これは、プラットフォームのリバースエンジニアリング、悪意のあるコードの送信、無許可のデータ収集、サービスへの不正アクセスを含むいくつかの方法でWhatsAppの利用規約に違反しています。

Metaは、これらの行為がコンピュータ詐欺および悪用法（CFAA）およびカリフォルニア州の包括的コンピュータデータアクセスおよび詐欺法（CDAFA）にも違反し、WhatsAppに損害を与えたと主張しています。

NSOは長い間、顧客の操作については知らず、顧客のスパイウェアの使用に対して最小限の制御しか持っていないと主張し、ターゲットを絞ったサイバー攻撃の実行に関与していないと否定しています。

しかし、新たに公開された裁判所の文書は、スパイウェアベンダーがそのPegasusスパイウェアを操作しており、顧客はターゲット番号を提供するだけでよいことを明らかにしています。

裁判所の文書の一つで、WhatsAppは「NSOの顧客の役割は最小限である」と主張しました。政府の顧客はターゲットのデバイスの電話番号を入力するだけで済み、NSOの従業員を引用して「インストールを押すと、Pegasusがデバイスにリモートでエージェントをインストールします」と述べています。

「言い換えれば、顧客はターゲットデバイスのデータを注文するだけで、NSOはPegasusの設計を通じてデータの取得と配信プロセスのすべての側面を制御します。」とWhatsAppは付け加えました。

裁判所の提出書類はまた、NSOの従業員が「WhatsAppメッセージを使用して[脆弱性]をトリガーするかどうかは私たちの決定でした」と述べていると引用しています。これは、同社が顧客に提供した脆弱性の一つを指しています。

弁護の中で、イスラエル企業のグローバルコミュニケーション担当副社長ギル・ラニエルは、TechCrunchへの声明で次のように述べました。「NSOは、システムが完全に顧客によって運営されており、NSOやその従業員がシステムによって収集された情報にアクセスできないことを繰り返し詳細に説明した以前の声明を支持します。」

「これらの主張は、過去の多くの主張と同様に、法廷で誤りであることが証明されると確信しており、その機会を楽しみにしています。」と彼は付け加えました。