WhatsAppスパイウェア攻撃 – NSOグループが1億6800万ドルの罰金

カリフォルニア州の米国連邦陪審団は火曜日、イスラエルのスパイウェア企業NSOグループに対し、WhatsAppの親会社であるMeta Platforms Inc.に対して約1億6800万ドルの懲罰的損害賠償を支払うよう命じる画期的な決定を下しました。

これに加えて、同社はWhatsAppのエンジニアが攻撃ベクターをブロックするために行った重要な努力に対して、Metaに44万4719ドルの補償損害賠償を支払う必要があります。

この判決は、NSOグループが2019年4月から5月の2週間にわたり、約1400人のWhatsAppユーザーをハッキングするためにペガサススパイウェアを使用したことに起因しています。この決定は、スパイウェア開発者を無許可の監視活動に対して責任を問う重要な前例を設定します。

「WhatsAppのケースにおける今日の評決は、すべての人々の安全とプライバシーを脅かす違法スパイウェアの開発と使用に対する最初の勝利として、プライバシーとセキュリティにとって重要な前進です」と、判決が発表された後にMetaは声明を発表しました。

「今日、悪名高い外国のスパイウェア商人であるNSOに損害賠償を支払わせる陪審の決定は、アメリカの企業と私たちが提供する人々のプライバシーとセキュリティを狙った違法行為に対するこの悪意のある産業への重要な抑止力です。」

事件の背景

この訴訟は、2019年10月29日にカリフォルニア州北部地区裁判所でWhatsAppによって提起され、NSOグループがWhatsAppのビデオ通話機能の脆弱性を悪用して、ユーザーのデバイスにペガサススパイウェアを無断でインストールしたと非難しました。ターゲットには人権活動家、ジャーナリスト、外交官、市民社会の擁護者が含まれていました。

裁判所の提出書類（PDF）によると、NSOのペガサススパイウェアは、受信者が応答する必要すらないWhatsAppの通話を通じてインストールされました。通話が行われると、悪意のあるコードが自動的に展開され、電話通話、電子メール、暗号化されたプライベートメッセージ、画像、位置情報、その他の機密データを含む広範な個人データへのアクセスを許可しました — すべてユーザーの知らないうちに。

2024年12月、米国地方裁判官フィリス・ハミルトンは、NSOグループが米国コンピュータ詐欺および濫用法（CFAA）およびカリフォルニア州包括的コンピュータデータアクセスおよび詐欺法（CDAFA）に違反したと認定しました。また、NSOの行動がスパイウェアを展開するために無許可でサーバーにアクセスしたことにより、WhatsAppの利用規約に違反したことも認定しました。

NSOグループの反応

裁判での敗北後、NSOグループはこの決定に対して控訴する計画を発表し、ペガサスソフトウェアは犯罪とテロ対策のために認可された政府によって使用されることを意図していると主張しています。

「私たちは評決の詳細を慎重に検討し、さらなる手続きや控訴を含む適切な法的救済を追求します」とレイナーは付け加え、同社は「公共の安全を守る技術を開発するという使命に完全にコミットしている」と述べました。

一方、Metaは、世界中でこのような攻撃から人々を守るために活動しているデジタル権利団体に寄付することを決定しました。

「私たちの次のステップは、NSOが再びWhatsAppを標的にすることを防ぐための裁判所の命令を確保することです」と同社は結論付けました。