イスラエルの企業がMeta Platformsに敗訴し、約242億円の損害賠償金の支払い命令を受けた。この評決は、サイバーセキュリティやソフトウェア業界の従来の考え方を一変させる可能性がある。その内容とは。
2025年5月6日(現地時間)、米カリフォルニア州の連邦裁判所は、イスラエルの監視製品ベンダーNSO Groupに対し、Meta Platforms(旧Facebook)のメッセージングアプリケーション「WhatsApp」への賠償金支払いを命じる評決を下した。本稿は、評決までの経緯と、評決がソフトウェア開発やセキュリティ業界に与える影響を整理する。
NSO Groupは、WhatsApp利用者1400人のスマートフォンに不正にアクセスしたことを理由として、懲罰的損害賠償金1億6725万ドルと補償的損害賠償金44万4719ドルの支払いを命じられた。
この評決は、Meta Platformsが提出した訴訟において、米連邦地方裁判事フィリス・ハミルトン氏が2023年12月に同社の主張を認めたことを受けたものだ。裁判では、NSO Groupのスパイウェア「Pegasus」がWhatsAppの音声通話機能に存在した脆弱(ぜいじゃく)性「CVE-2019-3568」を2019年5月に悪用していた証拠が提出された。裁判所は、NSO GroupがWhatsAppの利用規約に違反し、不正または違法な目的でサービスを利用していたことも認定した。スパイウェアは、エンドユーザーの行動に関する情報をひそかに収集し、外部に送信するマルウェアのことだ。
NSO Groupは、世界各国の政府機関にサイバー監視技術を提供してきた。同社の顧客の中にはイスラエルと敵対関係にある国家があり、その国家は人権侵害への関与が指摘されているとして、NSO Groupは国際的な非難を浴びてきた。
トロント大学(University of Toronto)の研究機関Citizen Labは、Pegasusを悪用した事例を明らかにしている。同機関が実施した調査によると、エンドユーザーの操作を必要としないゼロクリック型スパイウェアであるPegasusは、サウジアラビア政府が関与しているとされる米誌「The Washington Post」記者殺害事件にも使用された可能性がある。
NSO Groupは顧客となる政府機関を厳格に審査していると主張し、ソフトウェアの利用方法に責任を持たないとの立場を示してきた。だが評決では、連邦裁判所がその姿勢を不誠実だと受け止めた可能性がある。
判決後に公開したコメントにおいて、 Meta Platformsは評決を「全てのエンドユーザーのプライバシーと安全を脅かす、違法なスパイウェアの開発と使用に対する初めての勝利だ」と評価。「悪名高いスパイウェア業者であるNSO Groupに損害賠償を支払わせるという陪審員の決定は、NSO Groupをはじめとした違法な事業者全般に対する抑止力となる」とも述べた。
Meta Platformsのコメントによると、裁判ではスパイウェアの幹部が証言台に立ち、監視システムの侵入経路や動作について説明した。証言の内容から、Pegasusはスマートフォンにひそかに侵入し、スマートフォン内のアプリケーションから金融関連の情報やエンドユーザーの位置情報、メールの文章、テキストメッセージを収集できることが明らかになった。マイクやカメラを遠隔で起動したり操作したりすることもできるという。
権利保護団体Access Nowの技術関連上級法務担当者ナタリカ・クラピバ氏は、「この評決はデジタル技術やインターネットを使うエンドユーザーの権利保護と、スパイウェアの被害者にとって大きな勝利だ」と歓迎する。同団体の米国政策担当、マイケル・デ・ドラ氏も「米国を拠点とするサービスを通じてエンドユーザーをターゲットにすると、高い代償を支払うことになることを示している」と指摘する。
人工知能(AI)技術を活用したMDR(Managed Detection and Response)サービスを提供するAirMDRで、最高マーケティング責任者(CMO)を務めるキャロリン・クランダル氏は、今回の評決が「サイバーセキュリティソフトウェアにおける責任の在り方に一石を投じた」と評価した上で、次の懸念を示す。「裁判所がスパイウェアベンダーに責任を負わせたということは、正当なセキュリティ対策の研究を目的として開発された脆弱性検証ツール『Mimikatz』などのツールについても、悪用された場合は開発者が責任を問われる可能性がある」
「攻撃と防御の境界が曖昧になる中で、今後はツールの開発意図や透明性、公開方法が法的な判断に影響を与えることになる。『知らなかった』では済まされない時代に入った」とクランダル氏は述べる。
TechTarget.AI編集部は生成AIなどのサービスを利用し、米国Informa TechTargetの記事を翻訳して国内向けにお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
本記事は制作段階でChatGPT等の生成系AIサービスを利用していますが、文責は編集部に帰属します。
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
