Pegasus、ハッキングに使用された NSO グループのスパイウェアiPhone、スペインのカタルーニャ州で市民社会や政治家が所有するデバイスに対して監視ツールが使用されたことで、新たなスパイスキャンダルに巻き込まれた。
カタルーニャ州の上級政治家ロジャー・トレント氏と独立支持派がWhatsApp経由で「政府グレードのスパイウェア」の標的になったと主張する2020年の報告を受け、シチズン・ラボは同地域の当局者や関係者に対する広範なスパイウェア使用に関する調査を開始した。月曜日の調査により、別のツールが使用された証拠が明らかになりました。ペガサス。
少なくとも63人が標的となったか、ペガサスに感染した。クレームを報告する、他の 4 つは Candiru スパイウェアの標的となり、2 つは両方のツールの標的になりました。犠牲者のリストにはカタルーニャの大統領、議員、市民社会団体のメンバー、欧州議会議員、家族が含まれていた。
シチズン・ラボは攻撃の直接の責任を明らかにしていないが、スペイン政府の指示を示す広範な状況証拠があると述べている。
スペインで最も裕福な自治州の一つであるカタルーニャには、自治権を拡大しようとする長い歴史があるが、通常はスペイン政府が反対している。このことは、2017 年に特に顕著でした。独立住民投票これはスペイン憲法裁判所によって違法とみなされ、警察が有権者を追い返し、過剰な武力行使を行ったとされている。
この投票がカタルーニャ州議会で承認された直後、スペイン政府は同議会を解散し、新たな選挙を計画した。それ以来、住民投票の参加者は刑務所に送られ、スペインでは独立運動との戦いが続いている。
調査の結果、標的63人のうち51人が法医学的に感染が確認されたことが判明した。しかし、スペインでは iOS よりも Android の普及率が高く、捜査官が使用するフォレンジック ツールは iOS 向けに開発されているため、報告書は「Android デバイスを持っていたために標的にされ、Pegasus に感染した可能性のある個人の数が大幅に過小評価されている」と考えています。
「中心から外れた」標的化の事例がいくつか確認されており、家族、親しいスタッフ、その他関心のある人物に関係する個人が感染しており、必ずしも関係を維持することなく対象者に関するデータ収集が可能となっている。
独立を支持したカタルーニャ州の欧州議会議員全員が直接的または中心外で標的にされ、そのうち3人は議員への直接感染、2回は中心外からの攻撃を受けた。
他に特定された標的には、カタルーニャ州議会、オムニアム・カルチュラルなど、政治的独立を支持する市民団体や著名なカタルーニャ人の代理人弁護士などが含まれる。
「オマージュ」と証拠
ペガサスの仕組みとしては、ゼロクリック iメッセージエクスプロイトは 2017 年から 2020 年にかけて試みられましたが、これは非常に一般的な手法です。しかし、2019 年末に、「オマージュ」と呼ばれるゼロクリック エクスプロイトが発見されました。
オマージュには、Pegasus 電子メール アドレスの検索を実行した後、WebKit インスタンスを起動する iMessage ゼロクリック コンポーネントが含まれていました。 JavaScript スキャフォールディングは WebKit インスタンスによってフェッチされ、WebKit インスタンスがエクスプロイト自体をフェッチしました。
スキャフォールディングは、一致する可能性のある画面解像度、「表示ズーム」モードが有効になっているかどうか、バッファの暗号化にかかった時間を比較することによって、iPhone のモデルを特定することもできます。
エクスプロイトにリンクされたドメインは単一のペガサス顧客によって制御されていたようで、すべてが 1 つのエンティティによって実行されたことを示しています。スペインの国立情報センター(CNI)はNSOグループの顧客であり、同国内務省も同様の攻撃を実行できる可能性があると報じられている。
他の状況証拠としては、スペイン政府が関心を持っていると思われる標的を設定したタイミング、おとりのテキストメッセージの内容から公式ID番号などの個人情報へのアクセスが推測されたこと、標的が「スペイン政府にとって明らかに関心を持っていた」ことなどが挙げられる。
シチズン・ラボは、事件の深刻さから「責任者、ハッキングがどのように許可されたか」、法的枠組み、作戦の規模、ハッキングされたデータの用途を明らかにするための公式調査が明らかに正当化されると考えている。また、「ハッキング活動の野放しな性質のため」この事件は注目に値するとみなした。
ペガサスを使用したカタルーニャ攻撃に関する報告書は、その1週間後に到着した決まった2021年には欧州委員会の上級職員らが攻撃者の標的となり、同じツールを使ってスマートフォンへのアクセスを試みた。