政府が人権活動家や異議を唱える人々を監視するために商業スパイウェアベンダーを利用していることが増加しています。かつてはNSOグループなどの一部のベンダーが市場を主導していましたが、現在では多くの小規模なベンダーが参入しています。Googleの報告書によると、これらのベンダーはGoogle製品のゼロデイ脆弱性のほぼ半数を引き起こしています。
商業スパイウェアベンダーは、広範な製品でゼロデイ脆弱性を見つけて悪用しており、2014年から2023年までの間に発見された72件のゼロデイ脆弱性のうち35件が商業スパイウェアベンダーによるもので、昨年は25件中20件が商業スパイウェアベンダーによるものでした。この傾向に対する懸念から、バイデン政権は商業スパイウェア製品の拡散を防ぐための行政命令を発令しました。
商業スパイウェア市場の成長は、世界中の政府が自社でスパイウェアツールを開発する代わりに外部のベンダーに頼る需要によるものです。政府や法執行機関はスパイウェアツールの契約を購入し、データの収集から解析までの一連のサービスを提供してもらうことができます。価格によって、ユーザーはAndroidとiOSデバイスにスパイウェアをインストールし、ターゲットデバイス上での持続性を保証することができます。
商業スパイウェア市場の拡大により、政府や情報機関が個人に対して危険なツールや能力を利用することが可能になっています。GoogleはNSOグループなどの有名なベンダーだけでなく、他の多くの小規模なベンダーや関連企業も問題の一翼を担っていると指摘しています。これらのプレーヤーの存在は、インターネットエコシステムの安全性や信頼性に脅威を与えています。
【ニュース解説】
近年、世界中の政府が人権活動家や異議を唱える人々を監視するために、商業スパイウェアベンダー(CSV)の利用を増やしています。これらのベンダーは、かつては限られた数の企業によって市場が占められていましたが、現在では多くの小規模な企業が参入し、市場は急速に拡大しています。Googleの最新の報告書によると、これらのベンダーはGoogle製品におけるゼロデイ脆弱性の発見と悪用において、大きな役割を果たしています。特に2014年から2023年の間に発見されたゼロデイ脆弱性のほぼ半数が、これらのベンダーによるものであることが明らかにされました。
商業スパイウェア市場の成長は、政府が自らスパイウェアツールを開発する代わりに、これらのツールを外部のベンダーから購入することを選択していることに起因しています。これにより、政府や法執行機関は、ターゲットのデバイスに侵入し、情報を収集し、監視するための一連のサービスを提供する契約を締結することが可能になります。このようなサービスの提供は、特にモバイルデバイスを対象としており、法執行や対テロ活動を支援する正当なツールとして宣伝されることが多いですが、実際には抑圧的な政府によってジャーナリストや活動家に対する監視ツールとして悪用されることがあります。
このような商業スパイウェアの拡散は、インターネットエコシステム全体の安全性と信頼性に対する脅威をもたらしています。政府や情報機関が個人に対して使用する危険なツールや能力の拡散は、デジタル社会の活力と包括性に基づく信頼を損なう可能性があります。この問題に対処するため、バイデン政権は2023年3月に、活動家やジャーナリストにリスクをもたらす商業スパイウェア製品の拡散を防ぐための行政命令を発令しました。
商業スパイウェアの利用が拡大する中で、政府や情報機関が個人のプライバシーを侵害し、自由な意見表現を抑圧する手段としてこれらのツールを使用するリスクが高まっています。このような状況は、個人の権利とインターネットの自由を守るための国際的な取り組みを必要としています。また、技術企業やセキュリティ研究者によるゼロデイ脆弱性の迅速な特定と修正、および商業スパイウェアの悪用に対する監視と報告が、この問題に対処する上で重要な役割を果たします。
from Google: Govs Drive Sharp Growth of Commercial Spyware Cos.
