ゼロデイ脆弱性のほとんどに「商用スパイウェアベンダー」が絡んでいたとGoogleの脅威分析チームが発表

Googleの脅威分析チーム(TAG)が2024年2月6日に、Googleの製品のスパイに悪用されたゼロデイ脆弱(ぜいじゃく)性の80％に、民間のスパイウェア開発企業が関与していたと発表しました。こうした危険性の高まりを受けて、各国の政府は商用スパイウェアの拡散防止の取り組みを加速させています。
New Google TAG report: How Commercial Surveillance Vendors work
https://blog.google/threat-analysis-group/commercial-surveillance-vendors-google-tag-report/
Google says spyware vendors behind most zero-days it discovers
https://www.bleepingcomputer.com/news/security/google-says-spyware-vendors-behind-most-zero-days-it-discovers/
UK, France pitch rules to curb spyware abuse – POLITICO
https://www.politico.eu/article/uk-france-pitch-rules-to-curb-spyware-abuse/
US announces visa ban on those linked to commercial spyware
https://www.bleepingcomputer.com/news/security/us-announces-visa-ban-on-those-linked-to-commercial-spyware/
世界の政治の最前線では、ジャーナリストや活動家、政治家といった重要人物を監視するための商用スパイウェアが用いられおり、その影響は言論や報道の自由の侵害、公平な選挙の妨害などを通じて社会全体に影を落としています。

40社の商用スパイウェアベンダー(CSV)を監視してきたTAGは、これまでの10年間に自社製品に影響を与えた既知のゼロデイエクスプロイト72件のうち、35件がCSVによるものである可能性があると発表しました。
特に注意すべきCSVとされているのが、次の5つです。
・Cy4Gateとその傘下のRCS Lab：このCSVは、AndroidとiOS用のスパイウェア「Epeius」および「Hermit」で知られているイタリア企業です。
・Intellexa：イスラエルの技術者であるタル・ディリアン氏が率いているスパイウェア企業。同氏はアメリカ政府のブラックリストに登録されている人物でもあります。
・Negg Group：2013年に設立されたいたイタリアのCSVで、エクスプロイトチェーンを通じてモバイル端末を標的とするマルウェアの「Skygofree」とスパイウェアの「VBiss」で知られています。
・NSO Group：「ハッカーが探し求めてきた伝説の聖杯」とも評されるスパイウェア「Pegasus」で有名なイスラエル企業で、数々の制裁や訴訟にもかかわらず事業を続けています。
・Variston：カスタマイズされたセキュリティソリューションの提供を特徴とするスペインのCSVで、商用エクスプロイト「Heliconia」への関与とアラブ首長国連邦(UAE)での勢力拡大が指摘されています。
Googleによると、11のCSVで悪用されている74のゼロデイのうち24件がGoogle Chrome、20件がAndroid、16件がiOS、6件がWindowsに影響を与えるものだったとのことです。

一大ビジネスへと発展した商用エクスプロイトの脅威に対し、各国政府は規制の枠組み作りを急いでいます。イギリスとフランス政府は2024年2月6日に、スパイウェアの責任ある使用に関する国際ガイドラインの制定を宣言しました。
国際的なルール作りに関する宣誓に署名した国の中には、EU加盟国であるベルギー、チェコ共和国、フランス、ギリシャ、イタリア、ポーランド、同盟国であるアメリカ、イギリス、アフリカ連合が含まれているほか、業界からはApple、Google、Meta、Microsoft、イギリスの防衛企業・BAE Systemsが参加しています。
これとは別に、アメリカ政府は2月5日に、商用スパイウェアの悪用に関与した個人に対するビザ発給を禁止する制裁を打ち出しました。
この政策は、商業スパイウェアの氾濫を重く見たジョー・バイデン政権の姿勢を反映したもので、アントニー・J・ブリンケン国務長官は会見で、「国務省は本日、商業スパイウェアの悪用に関与した個人にビザ制限を課すことを認める新たな政策を実施します。このような標的化は、恣意的な拘留、強制失踪、超法規的な殺害などに結びついており、アメリカの軍関係者の安全保障やスパイ防止の上でも脅威となります」とCSVを非難しました。