
2026/07/04 5:38
欧州議会議会に対するスパイ活動
RSS: https://news.ycombinator.com/rss
要約▶
Japanese Translation:
2022年10月21日、さらに2023年3月6日および7日に、公民ラボ(Citizen Lab)による確認により、元欧州議会議員かつPEGA委員会委員のステリオス・クーログルがNSOグループ製のペガサススパイウェアに感染していることが判明しました。これらの感染事象は高機密性期間と一致しており、最初の事象では入院中であり、PEGA審議会の報告書作成に積極的に関与していました。技術的分析によると、此次の攻撃はiOS 15.5を実行する端末におけるゼロクリックエクスプロイト(例:"PWNYOURHOME")が利用された可能性が高く、その証拠としてHomeKitメールアドレスの照会に続いてペガサスプロセスの活動が観察されました。クーログル氏はまた、2023年3月・8月および2024年4月に、傭兵スパイウェアによる標的化に関するAppleからの脅威通知を受領しています。ギリシャ政府はこの作戦との関連は確認されておらず、ギリシャもNSOグループの既知のカスタマーではないものの、このキャンペーンとロシア語・ベラルーシ語圏の難民ジャーナリストへの攻撃が重なり合うことから、多国間ライセンスを受けたペガサス保有顧客が攻撃を担当した可能性が示唆されます。感染は少なくとも2つの管轄区域(ギリシャおよびベルギー)にまたがる端末で検出されており、クーログル氏はPEGA委員会委員中、公的任務の遂行中に被害を受け、先例としてカタルーニャ出身の欧州議会議員4名など他の対象と同様、初めて公表されたペガサス委員会委員の被害者であることで際立っています。その対策として、セキュリティ専門家からは、すべての委員会委員への即時 forensic スクリーニングの実施、iOS の Lockdown モードなどの高度なプライバシー機能の採用、ならびにサイバー脅威に関する年次報告の提出が推奨されており、これにより高機密性環境における外国のインテリジェンス機関による脅威に対する強化されたサイバーセキュリティプロトコルの確立を目指すものです。
本文
ステリオス・クーロゴウ欧州議会議員、ピエガススパイウェアで2度ハッキングされた疑惑
主要発見点
- ステリオス・クーロゴウ氏(Stelios Kouloglou)は、欧州議会元議員であり、「ピエガス・プロジェクト」を調査するPEGA 委員会の代議員を務めていた間、NSO グループ製のピエガススパイウェアにより複数の回攻撃を受けたことが判明した。
- 機密情報漏洩の恐れ: 感染は PEGA 委員会の活動が最も活発だった時期に発生しており、委員会の非公開情報や活動に関する情報が収集された可能性がある。欧州議会の秘密保持と特権保護の枠組みが侵害されたとみられる。
- 責任の所在未確定:現時点では特定の政府への帰属はできていない。
- ギリシャ政府の関与兆候は見られなかった。
- 代わりに、感染時期とロシア語・ベラルーシ語話者の亡命ジャーナリストらに対する作戦(Campain)との間に重複が確認されている。
- これは、欧州でのスパイ活動を行える権限を持つ特定の NSO グループ顧客が関与した可能性を示唆している。
被害者:ステリオス・クーロゴウ氏のプロフィール
- 経歴: 2015 年より欧州議会議員(MEP)を務めるギリシャ出身の investigative ジャーナリスト。
- TVXS の設立: 2008 年以来、TVXS を設立し記者として活動。
- 政治的立場の変遷:
- シリザ党推薦無党派候補として初当選(2015 年)。
- 2019 年再選。
- 2023 年シリザ党を離れ独立、2024 年新左派へ所属。
- PEGA 委員会での役職: 2022 年 3 月〜2023 年 7 月、ピエガスおよび同等の監視スパイウェア使用に関する調査委員会の代議員を務めた。
ピエガスによる具体的な感染経緯と脅威警告
感染事実の確認
市民研究所(Citizen Lab)が行った iPhone のフォレンジック解析により、以下の感染時期が確認された。
- 第 1 回感染: 2022 年 10 月 21 日
- 第 2 回感染: 2023 年 3 月 6 日〜7 日
技術的詳細と対策(第 1 回感染)
- 日時: 2022 年 10 月 21 日 10:16 に HomeKit アドレスへの照会があり、2 分後から活動開始。
- 手法: **「PWNYOURHOME」**というゼロクリック(Zero-click)エクスプロイトが使用された疑い。
- 攻撃者は HomeKit に仕組まれた
を送信し、NSKeyedArchive
に悪意のあるコンテンツを注入した。MessagesBlastDoorService
- 攻撃者は HomeKit に仕組まれた
- アップルの対応: iOS 16.3.1 で HomeKit の修正により初回の問題は緩和されたが、後続のサービスへの脆弱性は以前からあった可能性がある。
アップルからの脅威警告履歴
以下の日にちに「傭兵スパイウェア(Mercenary Spyware)」への攻撃に関する警告を受け取っていたことが確認された(※ユーザーによる記憶との乖離あり):
- 2023 年 3 月 2 日
- 2023 年 8 月 29 日
- 2024 年 4 月 10 日
重要な注意点: アップル等の脅威警告はリアルタイムアラートではない場合がほとんど。攻撃の数ヶ月後にバッチ処理で送信されるケースがあるため、被害発覚時に届いている可能性がある。
感染時における PEGA 委員会の活動と機密性リスク
第 1 回感染時期(2022 年 10 月)
- 審議の準備期間: 感染直後から報告書ドラフトの出版準備、激しい議論、草案の配付が行われていた。
- 聴聞会の開催: 「ビッグテックとスパイウェア」などの重要聴聞会が開かれた時期と一致。
- 国訪問の準備: ギリシャ・キプロスへの研究訪問計画が進んでおり、感染時点で既に関連通信が行われていた。
第 2 回感染時期(2023 年 3 月)
- 激しい議論: 報告書最終草案作成中の激しい議論の最中だった。
- 聴聞会と旅行: スペインへの研究旅行や聴聞会が続行されていた。
機密情報の傍受リスク(ギリシャ・病院での感染時)
- 状況: 第 1 回感染時は、クーロゴウ氏が入院中で、ジャーナリスト・タナシス・クーカキス氏が病室を訪問していた。
- 収集された情報の可能性:
- 医療スタッフとの会話や予約内容。
- 診断結果や健康データ、機密医療情報。
- 法的違反: ギリシャ刑法法では、個人データの特殊カテゴリ(健康情報等)には強化された保護が規定されているため、このハッキングは機密保持規定の重大な違反となり得る。
欧州議会内における他の被害事例
クーロゴウ氏は PEGA 委員会所属議員として被害を受けた初の公表事例だが、以前にも MEP ターゲット化の公開事例があった。
- カタルーニャ出身の MEP4 名:
- Diana Riba(2019 年感染)、Jordi Solé(就任前感染)。
- Clara Ponsati / Carles Puigdemont(スタッフ・家族経由での感染疑い)。
- PEGA 委員会外での事例:
- フランスの MEP Nathalie Loiseau の自身による確認。
- ブルガリアの MEP Elena Yoncheva への通知(端末ハッキング確認)。
- ドイツの MEP Daniel Freund(Candiru という別のスパイウェア使用確認)。
責任の所在に関する判断
- 特定の政府への帰属はできない: ギリシャ政府が関与したとの証拠や、NSO グループ製品であるピエガスを使用しているという技術的兆候は見られない。
- 疑念のある顧客:
- 感染で使用された HomeKit アドレス(
)は、ロシア語・ベラルーシ語話者のジャーナリストらに対する作戦でも使用されたものと同じである。rauharepo888@gmail.com - これらの操作者は特定の欧州諸国での多管区轄ライセンスを所持している可能性が高く、責任の所在が複数の EU 管轄区域にまたがる。
- 感染で使用された HomeKit アドレス(
結論と懸念
- 民主主義への脅威: PEGA 委員会という監視スパイウェア調査機関自身が被害を受けたことは、傭兵スパイウェアが民主主義プロセスに対する深刻な脅威であることを浮き彫りにしている。
- 機密情報の暴露リスク: インフラストラクチャの欠如により、委員会メンバーやスタッフの間で厳密に守られるべき機密通信や議事録が漏洩する可能性が高い。
- 波及効果: PEGA 以外でも多くの委員会の端末が感染している可能性があり、包括的なスクリーニングなしには現状は不明である。
推奨事項:EU 機関への提言
1. MEP およびスタッフ(個人対応)
- 即時のフォレンジック・スクリーニング: 作業用および私用の端末について、スパイウェア感染兆候を検出するためのチェックを直ちに行う。
- 防御モードの活用: iPhone の「Lockdown モード」、Android の「Advanced Protection Mode」を有効化して対策を強化する。
- 警告への対応: 脅威警告はバッチ処理であるため、受けた場合はすぐに専門家の助言を求める。
2. 欧州議会(組織的対応)
- 直ちに調査を実施: 本報告に基づく、スパイウェア攻撃に関する緊急調査を始める(証拠消失前に)。
- 年次報告の創設: EPRS などを通じて、サイバーおよび監視脅威に関する年次報告書を作成し、セキュリティ強化策を提言する。
- スクリーニング体制の拡充: DG ITEC に対し、全スタッフ・議員へのスクリーニング率向上と統計公表を義務化する。
3. 欧州委員会・欧州評議会(PACE)・国民議会
- 独自の調査の実施: コミュニケーター、スタッフ、メンバーら全ての端末についてスパイウェア感染の有無を確認する。
- 技術的協力: DG DIGIT や IT 部署との連携強化、定期的なスクリーニングの制度化。
4. テック企業への対応強化
- 通知 UX の改善: ユーザーが警告を正しく認識・理解するための UX 研究と設計を見直す必要がある(単なる送信ではなく「気づくこと」が目的)。
付録:主要なタイムライン
| 日付 | イベント |
|---|---|
| 2015 年 1 月 30 日 | ステリオス・クーロゴウ氏、欧州議会議員に選出。 |
| 2022 年 3 月 10 日 | PEGA 委員会設立。 |
| 2022 年 3 月 24 日 | クーロゴウ氏が PEGA 委員会代議員に任命。 |
| 2022 年 10 月 21 日 | 感染第 1: 入院中にピエガスハッキング。タナシス・クーカキス氏との面会時に医療情報の傍受リスクが発生。 |
| 2022 年 10 月 26-27 日 | PEGA 委員会による重要聴聞会の開催。 |
| 2023 年 3 月 6-7 日 | 感染第 2: ブリュッセル滞在中に再度ハッキング。報告書最終決定前の激しい議論が行われていた時期。 |
| 2023 年 5 月 8 日 | PEGA 委員会が最初の報告書を採択。 |
| 2026 年 5 月 | クーロゴウ氏、市民研究所に連絡しフォレンジック解析を要請。感染事実の確定的確認。 |
※注: ティムライン中の「2026 年」は記事原本に基づく表記ですが、現状の文脈(2024 年現在)においては非常に未来の日付を示しています。記事の情報源に基づいた記述となっております。