WhatsApp vs NSO Group裁判から学んだ8つの重要な教訓：1,400人以上のユーザーを標的としたゼロクリック攻撃の詳細とその後の展開

5月6日、Meta傘下のWhatsAppがNSOグループとの法的対立で勝利を収め、裁判所はNSOグループに対して1億6700万ドル以上の賠償を命じました。この裁定は2019年10月に始まった訴訟の結末です。WhatsAppは当時、NSOグループがチャットアプリの音声通話機能の脆弱性を悪用して1,400人以上をハッキングしたと訴えました。 審理では、WhatsAppの法務チームが攻撃の詳細を明らかにしました。無接触攻撃（ゼロクリック攻撃）は「標的への偽のWhatsApp通話によって行われた」と、WhatsAppの顧問弁護士アントニオ・ペ雷斯が述べています。NSOグループは、「WhatsApp Installation Server」を使用し、悪意のあるメッセージをWhatsAppのインフラ上で送信し、実際のメッセージを装いました。受け取られたメッセージにより、ユーザーの電話が第3サーバーに接続し、Pegasusスパイウェアをダウンロードさせました。 NSOグループの開発部門副社長タミル・ガズネリーは、「ゼロクリック攻撃はPegasusにとって一大マイルストーンだった」と証言しました。また、WhatsAppへの訴訟が提起された後も、同社が攻撃を続けていたことが認められました。「Hummingbird」というコードネームのもと、3つの異なるバージョンの攻撃（「Erised」「Eden」「Heaven」）が2019年末から2020年5月まで使用されていたとガズネリーは述べています。 2022年にニューヨーク・タイムズが報じたように、NSOグループは米国の電話番号（+1开头）を攻撃できないと主張していましたが、FBIのために一度だけテストで使用したことが確認されました。NSOグループの弁護士ジョー・アクロティリアナキスは、この例外が「Pegasusの特別な設定バージョン」であり、潜在的な米国政府のお客様向けデモ用であったと説明しています。FBIはデモンストレーション後、Pegasusの導入を拒否したとされています。 NSOグループのCEOヤロン・ショハトは、Pegasusの使用者インターフェースでは客户が使用する具体的な攻撃方法を選択できないと述べました。後方のシステムが標的に最適なエクスプロイトを選んで利用すると说明されます。 ショハトによると、NSOグループと親会社であるQ Cyberは合わせて350～380人の従業員を抱えており、そのうち50人がQ Cyberで働いています。 interessanterer Umstand: NSOグループの本社は、同じビル内の最上層5階にあると明らかにされました。Appleの支店と同一のビル内で、共通のエレベーターを使用しているという証言がありました。 Pegasusスパイウェアの価格については、NSOグループの従業員が2018年から2020年の間にヨーロッパのお客様に対して、標準料金として700万ドル、さらには「シークロ,vector」（隠れた配布方法）で100万ドル程度を追加で請求していたことを明らかにしました。料金は顧客ごとに大きく異なり、同時複数標的追跡可能数やオプション機能などにより変動します。 さらに、NSOグループの財務状況についても話されました。2023年には900万ドル、2024年には1,200万ドルの赤字となったとショハトは述べています。2023年及び2024年の銀行口座残高はそれぞれ880万ドルと510万ドルであり、現在月々に1000万ドルの資金流出を記録していると言及しました。同社の研究開発部門の2023年の経費は5,200万ドル、2024年には5,900万ドルに上り、主に従業員給与の賄いに使われています。 これらの情報に基づきNSOグループは、財務困難を理由に賠償額の軽減を求めました。ただし、Metaの法務部は厳しい賠償を要求し続け、最終的に多額の判決が下されました。 専門家の見解では、WhatsAppの勝利は個人情報保護とセキュリティ強化における一歩となり、国家主導のサイバー攻撃者に対する抑止力を発揮すると期待されています。NSOグループは、イスラエルに本社を置く国際的なセキュリティ企業で、2019年の事件以来、その事業手法と倫理性に関して大きな批判を浴びています。