著名なデジタルセキュリティ研究所による新しい技術レポートによると、オーストラリア、カナダ、キプロス、デンマーク、イスラエル、シンガポールの政府は、イスラエルのスパイウェアメーカーであるパラゴンソリューションズの顧客である可能性が高い。
水曜日、トロント大学に拠点を置き、10年以上にわたりスパイウェア業界を調査してきた学者およびセキュリティ研究者のグループであるシチズン・ラボが、イスラエルで設立された監視スタートアップに関するレポートを発表し、6つの政府を「パラゴン配備の疑いがある」国として特定した。
1月末、WhatsAppは同社がParagonスパイウェアの標的になったとみている約90人のユーザーに通知し、標的の一部が居住するイタリアでスキャンダルを引き起こした。
パラゴンは長年にわたり、スパイウェアが複数の国で悪用されているNSOグループなどの競合他社との差別化を図り、より責任あるスパイウェアベンダーであると主張してきました。2021年、匿名のパラゴンの上級幹部はフォーブス誌に対し、独裁政権や非民主的な政権は決して顧客にはならないと述べました。
1月のWhatsAppの通知をめぐるスキャンダルを受けて、またおそらくは責任あるスパイウェアベンダーであるという自社の主張を強化する試みとして、パラゴンの会長ジョン・フレミング氏はTechCrunchに対し、同社は「主に米国とその同盟国を中心とする、選ばれた世界の民主主義国家のグループに自社の技術をライセンス供与している」と語った。
イスラエルの報道機関は2024年末、米国のベンチャーキャピタルAEインダストリアル・パートナーズが少なくとも5億ドルの前払いでパラゴンを買収したと報じた。
シチズン・ラボは水曜日に発表した報告書の中で、「協力者からのヒント」に基づき、パラゴンがスパイウェアツール(同社がコード名「グラファイト」と呼んでいる)に使用しているサーバーインフラをマッピングできたと述べた。
テッククランチイベント
サンフランシスコ | 2025年10月27日~29日
この情報に基づき、関連するParagonサーバーとデジタル証明書を識別できる複数のフィンガープリントを開発した後、Citizen Labの研究者は、地元の通信会社がホストする複数のIPアドレスを発見しました。Citizen Labは、証明書の頭文字がサーバー設置国の国名と一致しているように見えることから、これらのサーバーはParagonの顧客が所有するサーバーであると考えていると述べています。
Citizen Lab によれば、同社の研究者が開発した指紋の 1 つが Graphite に登録されたデジタル証明書につながり、これはスパイウェア製造業者による重大な運用上のミスであると思われる。
「強力な状況証拠が、パラゴンと私たちが作成したインフラとの関連を裏付けている」とシチズン・ラボは報告書に記している。
「我々が発見したインフラは、イスラエル(パラゴンの拠点)のIPアドレスから返される『パラゴン』というタイトルのウェブページと、『グラファイト』という組織名を含むTLS証明書にリンクされている」と報告書は述べている。
Citizen Labは、研究者らがParagonの他の政府機関の顧客を示唆するコードネームをいくつか特定したと報告しています。顧客候補国の中で、Citizen Labはカナダのオンタリオ州警察(OPP)を特に特定しました。カナダの顧客候補のIPアドレスの1つがOPPに直接リンクされていることから、OPPはParagonの顧客であると考えられます。
お問い合わせ
Paragonとこのスパイウェアキャンペーンについて、さらに詳しい情報をお持ちですか?仕事用ではないデバイスから、Signal(+1 917 257 1382)、Telegram、Keybase(@lorenzofb)、またはメールでLorenzo Franceschi-Bicchieraiまで安全に連絡できます。また、SecureDrop経由でTechCrunchに連絡することも可能です。
TechCrunchは、オーストラリア、カナダ、キプロス、デンマーク、イスラエル、シンガポールの各政府の広報担当者に連絡を取りました。いずれの担当者からもコメントは得られませんでした。
OPP(オクラホマ州警察)の広報担当者、ジェフリー・デル・グイディス氏は、シチズン・ラボの調査結果を否定しなかった。しかし、「特定の捜査手法や技術に関する情報の公開は、進行中の捜査を危険にさらし、公衆と警察官の安全を脅かす可能性がある」と述べた。
TechCrunchの取材に対し、パラゴンのフレミング氏は、シチズン・ラボが同社に連絡を取り、「非常に限られた情報しか提供しておらず、その一部は不正確と思われる」と述べた。
フレミング氏は、「提供された情報が限られているため、現時点ではコメントできません」と付け加えた。フレミング氏は、TechCrunchがシチズン・ラボの報告書のどこが不正確だったのか、またシチズン・ラボが特定した国がパラゴンの顧客であるかどうか、イタリアの顧客との関係がどうなっているのかといった質問には回答しなかった。
Citizen Labは、WhatsAppから通知を受け、その後同組織に連絡して携帯電話の分析を依頼した人々は全員Androidスマートフォンを使用していたと指摘した。これにより、研究者たちはParagonのスパイウェアによって残された「フォレンジックアーティファクト」を特定することができ、これを「BIGPRETZEL」と名付けた。
Metaの広報担当者Zade Alsawah氏は、TechCrunchへの声明で「Citizen LabがBIGPRETZELと呼んでいる指標はParagonに関連していると確信しています」と述べた。
「商業スパイウェアがジャーナリストや市民社会を標的として武器化される様子を私たちは目の当たりにしてきました。これらの企業は責任を負わなければなりません」とMetaの声明には記されている。「当社のセキュリティチームは、脅威に先手を打つために常に努力しており、人々のプライバシーを守るために引き続き尽力していきます。」
Androidスマートフォンは必ずしも特定のデバイスログを保存するわけではないため、たとえParagonスパイウェアの痕跡がスマートフォンに存在していなかったとしても、Graphiteスパイウェアの標的となった人はもっと多い可能性が高いとCitizen Labは指摘している。また、被害者として特定された人々についても、過去に標的にされていたかどうかは不明である。
Citizen Labはまた、Paragonのスパイウェア「Graphite」が、OS全体やデバイスのデータを侵害するのではなく、標的のスマートフォン上の特定のアプリを標的として感染させる点を指摘しました。標的ユーザーによる操作は一切不要です。イタリアで被害者となったベッペ・カッチャ氏は、移民支援NGOに勤務していました。Citizen Labは、カッチャ氏のAndroidデバイス上の他の2つのアプリにもスパイウェアが感染していた証拠を発見しましたが、アプリ名は明らかにされていません。
シチズン・ラボは、デバイスのオペレーティング・システムではなく特定のアプリをターゲットにすることで、法医学調査官がハッキングの証拠を見つけるのが難しくなるかもしれないが、アプリ開発者はスパイウェアの活動についてより詳しく把握できるようになるかもしれないと指摘した。
「Paragonのスパイウェアは、(NSOグループの)Pegasusのような競合製品よりも発見が難しいですが、結局のところ、『完璧な』スパイウェア攻撃というものは存在しません」と、Citizen Labのシニアリサーチャー、ビル・マルザック氏はTechCrunchに語った。「手がかりは私たちが慣れている場所とは違う場所にあるのかもしれません。しかし、協力と情報共有があれば、どんなに難しいケースでも解明できるのです。」
シチズン・ラボはまた、カッチャ氏をはじめとするNGO関係者と緊密に連携しているデビッド・ヤンビオ氏のiPhoneを解析したと発表した。ヤンビオ氏は、自身のiPhoneが傭兵スパイウェアの標的になっているという通知をAppleから受け取ったが、研究者らはパラゴンのスパイウェアの標的になったという証拠を見つけることはできなかった。
アップルはコメント要請に応じなかった。
このストーリーは、OPP のコメントを含めるように更新されました。
