TOPセキュリティ > ゼロクリック攻撃とは? なぜ非常に危険なのか(下)

セキュリティ

ゼロクリック攻撃とは? なぜ非常に危険なのか(下)

2022/06/03

Andrada Fiscutean CSO

 標的となり得る著名人に向けた助言としてMaynier氏は、データを隔離しておくことや機密性が高い連絡にのみ使うデバイスを専用で用意することを挙げる。また、スマートフォン上に残す情報は必要最小限にとどめるよう促し、メッセージの自動消去は非常によい機能だと話す。さらに、誰かと対面で重要な話をするときには、同じ部屋にスマートフォンを持ち込まないよう勧める。

 スマートフォンがPegasusに感染しているかどうかをチェックできるツールとしては、Amnesty Internationalが開発した「Mobile Verification Toolkit」がある。キャッシュされたファビコン(サイトのアイコン)やSMSのメッセージ内のURLなど、感染の徴候を示すデータが残っていないかを確認できるツールで、ジェイルブレイクしていないスマートフォンに対しても使用できる。実行の際にはスマートフォンとパソコンの接続が必要となる。

 Pegasusのゼロクリック攻撃の標的となった可能性がある利用者には、AppleとWhatsAppのそれぞれからメッセージが届いた。これを受けて一部の利用者がCitizen Labなどの組織にデバイスの詳しい分析を依頼した。

 だが、テクノロジーだけでは問題を解決できないとAmnestyのMaynier氏は述べる。「つまるところ、政策と規制の問題だ。Amnestyや欧州のデジタル人権保護団体(EDRi)をはじめとする数多くの組織が、監視技術の利用、販売、移転に関して、世界規模での休止を呼びかけている。人権に関する適切な規制の枠組みを導入し、人権の擁護者や市民社会をこの種のツールの乱用から守れるようになるまでは、休止が必要だ」

 政策による対処では、輸出規制や、企業に対する人権のデューデリジェンス(適正評価手続き)の義務化など、この問題のさまざまな側面への対応が求められる。「まずは乱用の広がりに歯止めをかける必要がある」とMaynier氏は指摘する。

(了)

翻訳:内山卓則=ニューズフロント
記事原文(英語)はこちら

↑ページ先頭へ