2022年7月、何者かがGoogleに対し、Chrome、Firefox、そしてMicrosoft Defenderが稼働するPCをハッキングできる悪意のあるコード群を送信しました。このコードは「Heliconia」と呼ばれるエクスプロイトフレームワークの一部でした。Googleによると、当時これらのアプリケーションを標的としたエクスプロイトはゼロデイ脆弱性を突くもので、ソフトウェアメーカーはこれらのバグに気づいていなかったとのことです。
2022年11月後半、政府支援の脅威を調査するGoogleの脅威分析グループが、これらのエクスプロイトとHeliconiaフレームワークを分析したブログ記事を公開しました。Googleの研究者は、このコードはバルセロナを拠点とする、一般には知られていないスタートアップ企業Varistonのものであると結論付けました。
「当時は大きな危機でした。主な理由は、私たちが長い間、レーダーに引っかからずに活動していたからです」と、Varistonの元従業員はTechCrunchに語った。「最終的には(野放しで)発見されて明らかになるだろうと誰もが思っていましたが、実際にはリークした人物がいたのです。」
バリストンの元従業員の一人は、このコードは不満を持った同社の従業員によってグーグルに送られ、その後バリストンの名前と秘密は「焼かれた」と語った。
GoogleはVaristonのマルウェアの調査を継続しました。2023年3月、このテクノロジー大手の研究者は、Variston製のスパイウェアがアラブ首長国連邦で使用されていたことを発見しました。先週、GoogleはインドネシアでiPhoneユーザーに対してVaristonのハッキングツールが使用されていたことを発見したと発表しました。
過去1年間で、バリストンの従業員6人以上が同社を去ったと、彼らは秘密保持契約により報道関係者に話す権限がなかったため匿名を条件にTechCrunchに語った。
現在、元従業員 4 名とスパイウェア市場に詳しい人物 2 名によると、Variston は閉鎖される予定だという。
テッククランチイベント
サンフランシスコ | 2025年10月27日~29日
2010 年代初頭、Hacking Team、FinFisher、NSO Group などの西側諸国を拠点とする企業が、エチオピア、メキシコ、サウジアラビア、アラブ首長国連邦など、人権状況に疑問がある、または人権状況が悪い世界中の国や政権に監視ツールやハッキングツールを提供する市場が活況を呈していることが一般の人々に知られるようになりました。
それ以来、シチズン・ラボやアムネスティ・インターナショナルなどのデジタルおよび人権団体は、これらのスパイウェア製造業者の政府顧客がそれらのツールを使用してジャーナリスト、反体制派、人権擁護活動家をハッキングおよびスパイしていた数十件の事例を記録してきました。
ここ数年、攻撃的セキュリティ業界はより公然と、そして一般的になってきました。スパイウェアメーカーやエクスプロイト開発者の中には、オンラインでサービスを公然と宣伝している者もおり、従業員はソーシャルメディアで勤務先を公開しています。また、OffensiveConやHexaConなど、この業界向けにオープンに開催される人気のセキュリティカンファレンスもいくつかあります。
しかしながら、バリストンは常に目立たないように努めてきた。
同社が公表している唯一の情報は、事業内容を漠然と説明する簡素なウェブサイトだけだ。
「当社のツールセットは、コンサルタントの膨大な経験に基づいて構築されています。[法執行機関]によるデジタル情報の発見を支援します」と、バリストンのウェブサイトには記載されており、政府機関向けのスパイウェアおよびエクスプロイト作成者としての同社の活動について、これが唯一簡潔に言及している部分である。
TechCrunchの取材に応じた元従業員によると、バリストンは従業員に対し、LinkedInだけでなくサイバーセキュリティ会議でも勤務先を明かすことを禁じていたという。
TechCrunchが確認したスペインの事業記録によると、Varistonは2018年にバルセロナで設立され、ラルフ・ウェゲナー氏とラマナン・ジャヤラマン氏が創業者兼取締役として名を連ねている。
ウェブサイトにはバルセロナ市内の別の住所が記載されているものの、Varistonは最近までバルセロナのポブレノウ地区にある、ビーチから1ブロックのコワーキングスペース内のオフィスを拠点としていた。10月、このコワーキングスペースの担当者はTechCrunchに対し、Varistonは数年前からそこに拠点を置いていると語った。
TechCrunchが今週、Varistonのオフィスを訪れた際、コワーキングスペースの担当者はVaristonがまだそこで働いていると主張しました。担当者はVaristonへの伝言を預かると申し出、当日は不在だったものの、その週はオフィスにいたと述べました。Wegener氏とJayaraman氏は、TechCrunchからVaristonに関するコメントを求める複数回のメールに返信しませんでした。Varistonの公開メールアドレスに送ったメールも返信がありませんでした。
TechCrunchが入手したイタリアの事業記録によると、Varistonは2018年に最初の動きの一つとして、イタリアの小規模なゼロデイ攻撃研究スタートアップ企業Truel ITを買収した。その後、Varistonは約100人の従業員を抱える企業に成長した。Windowsデバイスを標的としたエクスプロイトフレームワーク「Heliconia」に加え、VaristonはiOSとAndroidを標的としたエクスプロイトやハッキングツールも開発していた。元従業員によると、VaristonのAndroid製品は「Violet Pepper」と呼ばれていた。
Varistonで働くために転職したTruel ITの創設者たちでさえ、LinkedInのプロフィールで雇用主としてVaristonを明らかにしていない。
バリストンの元従業員によれば、このレベルの秘密主義は、アラブ首長国連邦のアブダビに拠点を置く企業であるプロテクトとの特別な関係を除いて、同社の顧客の身元にも当てはめられていたという。
「バリストンはプロテクトのサプライヤーでした」と、プロテクトの事業に詳しい人物は語った。この人物は報道機関への発言権限がないため、匿名を条件にこう語った。「しばらくの間、両社にとって重要な関係でした。」
バリストンの元従業員によると、同社の仕事は「UAE向け」で、プロテクトが「事実上唯一の顧客」だったという。
元従業員らはTechCrunchに対し、Protectが研究開発部門を含むVaristonのすべての事業に資金を提供していたと語った。Varistonの元従業員の1人は、Protectが2023年初頭に開発部門への資金提供を停止した後、Varistonの従業員に転勤を強制しようとしたと述べた。その後、同年後半に研究への資金提供が停止されると、Varistonは「廃業」したと、この人物は語った。
お問い合わせ
VaristonやProtectについてもっとご存知ですか?仕事用ではないデバイスから、Lorenzo Franceschi-Bicchieraiまで、Signal(+1 917 257 1382)、Telegram、Keybase、Wire(@lorenzofb)、またはメールで安全に連絡できます。SecureDrop経由でTechCrunchに連絡することも可能です。
2023年初頭、プロテクトはバリストンの全従業員にアブダビへの移転を要請しました。バリストンの従業員の大半がこの提案を受け入れなかったため、これがバリストンの崩壊の始まりとなりました。元従業員によると、経営陣は「アブダビに移転するか、解雇されるか」という二つの選択肢を提示し、例外は認めなかったとのことです。
Protectは「最先端のサイバーセキュリティとフォレンジック企業」を自称しています。Varistonと同様に、Protectのウェブサイトでは事業内容についてほとんど触れられていません。
しかし、Googleのセキュリティ研究者は、Protect(別名Protect Electronic Systems)が「自社が開発したスパイウェアをHeliconiaのフレームワークとインフラストラクチャと組み合わせ、完全なパッケージにし、それを地元のブローカーまたは政府顧客に直接販売している」と考えている。
そうすれば、バリストンのツールがインドネシアで使用されたとされる経緯が説明できるだろう。
監視・諜報業界を扱う業界誌「インテリジェンス・オンライン」によると、Protectは、UAEを拠点とする物議を醸しているハッキング会社DarkMatterが、UAE政府による反体制派、政敵、ジャーナリストへのスパイ活動を支援するアメリカ人を雇用していたことが明らかになった後に立ち上げられたという。
2019年時点で、Protectはアウワド・アル・シャムシ氏が率いており、「UAE政府関係者に外国のサイバー技術への秘密のアクセスを提供していた」とIntelligence Onlineは報じている。アル・シャムシ氏が現在もProtectに在籍しているかどうかは不明で、アル・シャムシ氏はコメントを求めるメールに返答しなかった。ProtectはTechCrunchからの他の複数のメールにも返答しなかった。
TechCrunchが確認したProtectのメールアドレスにリンクされた暗号化キーの公開オンライン記録によると、Varistonの創業者であるWegener氏とJayaraman氏も、少なくとも2016年の時点ではProtectで働いていたようだ。
ウェゲナー氏はスパイウェア業界のベテランだ。Intelligence Onlineによると、ウェゲナー氏はキプロスに拠点を置く企業や、ジャヤラマン氏が共同所有する企業など、複数の企業を経営している。ウェゲナー氏はかつて、2001年にベルリンで設立され、ドバイにもオフィスを構える監視サービスプロバイダー、AGT(Advanced German Technology)で働いていた。流出した文書と非営利団体Privacy Internationalの調査に基づく報道によると、AGTは2007年、イタリアのスパイウェアメーカーRCS Labと共同で、シリア政府と協力し、全国規模の集中型リアルタイムインターネット監視システムを開発していた。最終的に、AGTはこのシステムをシリア政府に提供しなかった。
設立から5年が経ち、Varistonはもはや秘密のスタートアップ企業ではなくなりました。
元従業員3人は、2022年のGoogleの報告書によってVaristonの秘密が暴露されたと述べた。従業員の1人は、Varistonを暴露したGoogleの報告書は、スパイウェアメーカーにとって「終わりの始まりだったかもしれない」と述べた。
しかし、バリストンの元従業員の一人は、同社も他のスパイウェアメーカーと同様に、いずれは摘発される運命にあったはずだと語る。「遅かれ早かれ、そうなる運命だった」とこの人物は語った。「ごく普通のことだ」
ナターシャ・ロマスがレポートに貢献した。
本稿の以前のバージョンでは、無関係なキャンペーンとの混同により、GoogleによるVaristonのツールの発見をイタリア、カザフスタン、マレーシアの3国に誤って帰属させていました。記事は更新され、Googleが流出したツールを受け取ったのは2022年7月であったことが訂正されました。これらの訂正は編集者のミスによるものです。ZW 。
