バルセロナがスパイウェアスタートアップの意外な拠点となった経緯

2023年末、テルアビブ在住のイスラエル人セキュリティ研究者は、LinkedInで「高給」で海外で働く機会を打診されたと語った。同社の人事部からは、スペイン・バルセロナでゼロから立ち上げた「合法的な」攻撃型セキュリティ企業だと説明を受けたという。 

しかし、研究者はTechCrunchに対し、採用プロセス全体を通して、少し違和感を感じたと語った。 

「あの秘密主義は実に奇妙でした。私にインタビューした従業員の中には、フルネームを名乗らない人もいました。会社名どころか、所在地さえ明かすのに非常に時間がかかりました。すべてが合法なのに、なぜこんなに秘密にされているのでしょうか？」と、ある研究者はTechCrunchに語った。「将来、制裁を受けるかもしれないし、汚職に手を染めるかもしれない会社のように思えます。」

同社の最高技術責任者に話を聞いたところ、研究者は「当社は正規の顧客のみを対象としており、他の企業とは異なり、怪しい国には販売しません」というようなことを言われたという。

採用担当のCTOで、制裁対象となっているスパイウェア製造会社NSOグループの元研究者でもあるアレクセイ・レビン氏は、同研究者に対し、採用しようとしている会社はパームビーチ・ネットワークスという会社で、デバイスを侵害するために使用されるゼロデイ脆弱性から、標的のデバイスにインストールされる監視ソフトウェアを指すスパイウェアインプラント自体まで、あらゆるものを開発していると語ったと同研究者は述べている。 

研究者によると、レビン氏はパームビーチ・ネットワークスには少なくとも1社の米国政府機関の顧客がいるとも語ったという。（レビン氏はコメント要請に応じなかった。）

しかし、なぜバルセロナでスパイウェアのスタートアップ企業を設立したのでしょうか。数年前、スペイン政府関係者が独立を推進する地元政治家をスパイウェアで標的にしたという、広範囲に及ぶ政治スキャンダルの中心地だったバルセロナで。研究者によると、社員からバルセロナでの生活はイスラエルでの生活に似ており、税制優遇措置や気候の良さが理由だと聞かされたそうです。 

これらは、ここ数年バルセロナがスパイウェア企業の意外な拠点となっている理由の一部だと、TechCrunchが話を聞いた攻撃的サイバーセキュリティ業界で働く複数の人々や、私たちが目にしたビジネス記録から明らかになった。 

バルセロナが攻撃的なサイバーセキュリティ企業にとって重要な地域拠点となったことで、スパイウェア問題は、キプロス、ギリシャ、ハンガリー、ポーランドでのスキャンダル（すべてイスラエルのスパイウェア製造業者が関与）により、監視技術と不安定な関係にあるヨーロッパのすぐそばに位置づけられることになる。

「ヨーロッパの主要都市がスパイウェア製造業者の拠点となるのは、憂慮すべき事態です」と、スパイウェアの調査・研究を専門とする非営利団体Access Nowの法律顧問、ナタリア・クラピバ氏はTechCrunchに語った。クラピバ氏は、スパイウェアビジネスは「腐敗や権力の乱用と密接に関係している」と述べた。

「スペインの国民、メディア、政策立案者は、これらの企業の活動が国内法およびEU法に準拠しているかどうか、そしてスペイン政府が監視ツールの悪用に関与している可能性がないかどうか、特にペガサスとスペインのこれまでの経緯を踏まえて、注意深く調査する必要がある」とクラピバ氏は述べた。

シチズン・ラボの上級研究員、ジョン・スコット＝レールトン氏も懸念を表明した。同氏は同僚らと共に10年以上にわたり、スパイウェアツールによる不正行為を調査してきた。スコット＝レールトン氏は、過去にはエチオピアやサウジアラビアといった非民主的な国の人権活動家や反体制活動家だけでなく、米国の外交官や、欧州域内の政治家や市民を含む標的の個人に対してもスパイウェアが悪用された事例があったと指摘した。 

「これはヨーロッパのスパイウェア危機に油を注ぐことになるでしょう。経験から判断すると、この技術がスペインの同盟国やEU加盟国に対して顧客によって利用されるのは時間の問題です」とスコット＝レールトン氏はTechCrunchに語った。「この業界の繁栄を許す政府は、自国の秘密技術と人的資本を危険にさらすことになります。傭兵スパイウェアやエクスプロイト開発者が街にやって来て人材を募集し始めると、これらの技術は外部に流出し、将来の潜在的な敵対国にも流出する傾向があります。」

太陽、魚介類、そしてスパイウェア

パームビーチネットワークス（当時の名称）以外にも、バルセロナには、この都市の晴れた温暖な気候、新鮮な魚介類、活気ある外国人コミュニティを最大限に活用している、他のエクスプロイトやスパイウェアの作成者が数多く存在します。

その中には、昨年のバリストン破綻後に同社​​の元従業員によって設立されたパラダイム・シフトや、米国の防衛大手L3ハリスがオーストラリアの新興企業アジマスを買収した後に設立された部門で勤務していた業界のベテラン、ジェレミー・フェティボー氏が率いるエプシロンなどがある。フェティボー氏はコメントの要請に応じなかった。

バルセロナには、ゼロデイ脆弱性攻撃の開発に取り組むためにシンガポールから移住した、名前の知られていないイスラエル人研究者グループも拠点を置いていると言われています。この名前の知られていないチームの存在と、Epsilonのバルセロナにおける活動は、イスラエルの新聞「ハアレツ」によって最初に報じられ、その記事は地元の新聞やニュースウェブサイトでも取り上げられました。

バルセロナに本社を置いていないサイバーセキュリティ企業も、バルセロナに拠点を置いています。オーストリアのサイバーセキュリティ企業SAFAのCEO、アンドリヤナ・シェクララック氏は、LinkedInの公開プロフィールによると、バルセロナ在住です。SA​​FAは、OffensiveConやHexaconといった攻撃型サイバーセキュリティカンファレンスを後援しており、攻撃型セキュリティ企業で脆弱性悪用の経験を持つセキュリティ研究者を少なくとも2名雇用していることが、各社のLinkedInの公開プロフィールから明らかになっています。

シェクララック氏は、本記事の掲載前にコメントを求めたが、回答はなかった。その後のメールでは、「SAFAはスパイウェアへの関与を断固として否定します。当社は、スパイウェアの開発や利用とは全く異なる、クライアントへの調査および脅威インテリジェンスサービスの提供に注力しています」と述べている。さらに、「SAFAには、スパイウェア関連企業との過去の関係を持つ従業員はおらず、今回の声明は当社のチームの専門的経歴と誠実さを誤解させるものです」と付け加えた。

これらのゼロデイ攻撃やスパイウェア対策企業は、バルセロナにおける広範なサイバーセキュリティおよびスタートアップ・エコシステムの一部です。カタルーニャ州政府によると、昨年時点でバルセロナには500社以上のサイバーセキュリティ企業があり、1万人以上の従業員が働いており、5年前と比べて約50%増加しています。

バルセロナは監視技術メーカーだけでなく、スタートアップ全般の拠点であり、ヨーロッパ有数のスタートアップハブの一つに数えられる。フードデリバリーのスタートアップGlovoは、競合のDelivery Heroが2021年にカタルーニャ企業の過半数株式を取得した際に、企業価値を23億ユーロと評価した。また、矯正歯科のスタートアップImpressは2022年に1億2,500万ドル、2024年に1億1,400万ドルを調達し、ビジネストラベル管理プラットフォームのTravelPerkは2024年に1億400万ドルを調達した。バルセロナ・カタルーニャ・スタートアップ・ハブ（同地域のスタートアップエコシステムを追跡する地方自治体プロジェクト）によると、これらは2,200社以上のスタートアップの一部である。 

ロンドン、アムステルダム、ベルリンといったヨーロッパの他のスタートアップ拠点と比べて生活費が安いことが、バルセロナが労働者にとって魅力的な理由です。さらに、バルセロナを訪れたことがある人にとっては、おそらくもっと明白な理由があります。それは、テルアビブ、キプロス、ギリシャといった、NSOグループ、Circles、Intellexaといったスパイウェア企業の拠点となっている、あるいはかつて拠点としていた場所と同様に、バルセロナには美しいビーチがあるということです。 

都市の魅力以外にも、イスラエルのセキュリティ研究者が特にバルセロナに集まる理由はいくつかあります。ハアレツ紙が2024年12月末に報じたように、イスラエルはNSOグループのスキャンダルを受けて、スパイウェアの海外輸出ライセンスの発行を厳しく制限するようになり、企業が海外に移転する余地を残しています。現在、企業がイスラエルからEUを含む世界各国にスパイウェアを輸出することは、EU域内から輸出するよりも困難になっています。 

ある人物はハアレツ紙に対し、このプロセスは「スペインへの移住ではなく、スペインへの追放だ」と語った。

パラダイムシフトは、この種の業務に適した職種の求人情報を掲載し、攻撃的なサイバーセキュリティ企業として自らを公然と宣伝しているが、かつてのバリストンのように、他の企業はそこまで透明性が高くない。パラダイムシフトの事業記録によると、同社の代表はレオーネ・ポントリエリ氏、LinkedInの公開プロフィールによるとフィリッポ・ロンカリ氏とシモーネ・フェリーニ氏である。3人は、バリストンが2018年にバルセロナで設立した際に買収されたイタリアのスタートアップ企業に所属していた。バリストンは、カタルーニャ地方の同都市に拠点を構えた最初のスパイウェア企業の一つである。 

ポントリエリ氏は電子メールで、TechCrunchに対し、パラダイムシフトは元バリストンのセキュリティ研究者らによって設立された「新しく設立された完全に独立した組織」だが、パラダイムシフトはバリストンの事業とは「直接的、間接的を問わず、一切のつながり、提携、または関係」がないと語った。 

パラダイムシフトの事業について、ポントリエリ氏は「大企業から法執行機関まで、求められるサービスに応じて多様な顧客基盤」にサービスを提供していると述べたが、具体的な内容は明らかにしなかった。ポントリエリ氏によると、パラダイムシフトがバルセロナに設立されたのは、輸出管理規制のためではなく、バルセロナという街の魅力が理由だという。バルセロナは「誰にとっても活気のある環境を提供し」、さらに「採用を促進する」というメリットもある。

様々な名前を持つステルススタートアップ

パームビーチ・ネットワークスは、スパイウェアメーカーのNSOグループや、それ以前のハッキングチーム、フィンフィッシャーとは異なり、これまで人権侵害への関与を公に主張していません。しかし、同社には社名変更という興味深い歴史があり、これは他のスパイウェアベンダーが企業の所有権を隠すために用いてきた戦略です。イスラエルのスパイウェアメーカーであるCandiruは、2021年に米国政府の貿易禁止リストに追加されるまでに何度か社名を変更しており、NSO自体も複雑な企業構造を持っていました。  

イスラエル人研究者によると、パームビーチ・ネットワークスという名前は「少々秘密主義的で、後の段階でレビン氏らによって初めて使われた」という。

結局のところ、Palm Beach Networks はすでに時代遅れの名前であり、異なるアイデンティティを持つスタートアップの 2 番目の反復である可能性があります。

2023年5月11日、Defense Prime Inc.という会社がPalm Beach Networksに社名変更しました。2023年6月16日、Head and Tailという会社がバルセロナで事業を開始しました。その後、フロリダ州とスペインに提出された事業記録によると、Palm Beach Networksは2024年6月28日に解散しました。 

Defense Prime と Palm Beach Networks は、幹部や主要人物が重複しているため、Head and Tail と関連があると思われます。 

スペインの事業記録には、サイ・ゴパルという人物がヘッド・アンド・テイルの正式署名者として記載されており、フロリダ州の事業記録には、同じ名前の人物がディフェンス・プライムの会計担当者として記載されている。ゴパル氏にコメントを求めたが、連絡が取れなかった。 

業務記録には、パームビーチ・ネットワークスでイスラエル人セキュリティ研究者の採用を試みたCTOのレビン氏が、ヘッド・アンド・テイルの取締役を務めていることも記されている。ヘッド・アンド・テイルの担当者は、TechCrunchからのコメント要請には応じなかった。 

スパイウェアメーカーの現幹部（匿名希望）は、TechCrunchに対し、レビン氏がパームビーチ・ネットワークスで働いていると語った。幹部によると、レビン氏は以前、NSOグループの初期開発者であり、その後カンディルでも働いていたという。

ヘッド・アンド・テイルの公式ウェブサイトでは、監視技術の開発については明確に言及されていないものの、「脅威情報、脆弱性評価、セキュリティ意識向上トレーニング、インシデント対応など、サイバーセキュリティに関する様々な課題に取り組んでいる」としている。同社はバルセロナ、マドリード、セビリアで求人情報を掲載している。 

結局、イスラエル人研究者は、パームビーチ・ネットワークス社で働く機会を断った。彼の知人から、同社では一部の従業員に、イスラエルの年間平均総収入を大幅に上回る、驚くほど高額な給与を支払っていると聞かされていたにもかかわらずである。

研究者は、人権スキャンダル、フェイスブックによる個人アカウントのブロックや削除、米国政府によるビザ発給拒否の脅迫などの影響に対処しなければならなかったNSOグループの従業員の一部と同じような結末を迎えるのではないかと心配していると述べた。 

「他の場所で十分な収入を得ることができ、何が起こるか、誰のために働いているのかを心配する必要もありません」と研究者は語った。「特に、その会社は透明性がなく、顧客が誰なのかわからないと感じていたからです。」

Paradigm Shift の Pontorieri 氏のコメントを追加して更新しました。また、SAFA の Šekularac 氏の回答を追加し 、研究者の攻撃セキュリティ企業での職務経験に関する段落を明確にしました。