米国支援のイスラエル企業スパイウェア ヨーロッパの記者を標的に！

もっと正確に言うと…「脆弱性」については、security researchersが報告する前に実際に悪用されたからzero-dayと見なせる。でも、ソフトウェア提供元が脆弱性を知っているから、パッチに関係なく、知ったその日に他の悪用が起こらないという意味ではzero-dayではないとも言える。（面白いことに、提供元が知っていてもzero-dayである可能性はある。定義は提供元が知ってから悪用されるまでに何日経ったかだから。ただ、知った後パッチを当てる前に悪用される必要があり、それは起こりにくいけどね。）

親コメントに載ってた情報によると、iOS 18.3.1で直ったらしいよ！詳しくはここのURLを見てね：https://news.ycombinator.com/item?id=44274249

詳しくは分かんないけど、CitizenLabのレポート[^1]に情報あったよ。ゼロクリックiMessage攻撃（CVE-2025-43200）はiOS 18.3.1で直ったって。Appleのページ[^2]にも載ってて、悪意のある写真やビデオの問題が修正されたみたい。CitizenLabはすごいね！
[^1] https://citizenlab.ca/2025/06/first-forensic-confirmation-of…
[^2] https://support.apple.com/en-us/122174

記事のずーっと下の方に書いてあるけど、『Paragonはイタリア政府へのスパイウェア提供をやめた』って。Haaretz紙への声明で言ってたみたいだよ。

こういうのって、こういうデジタル傭兵をちゃんと取り締まらないとマジで終わらないよ。政府が『スパイしたいから』って理由で法律無視してんの、マジ笑える。これって要は“犯罪サービス”じゃん。大抵の政府がお墨付き与えてるんだから、悪い奴らが関係ない人スパイするのも当然だよ。

法律を全部無視してるわけ？EUはこういう犯罪組織の有用性を公式に認めてるんだよ。『法執行のための正当な利用』って名目でさ。要は『好きに使え、捕まっても軽い罰で済ませてやる』ってこと。

これって、知らないだけでインプラントやCNE製品のマーケットは山ほどあって、ほぼどの国でも作られてるってことの証拠だよ。前はNSO Group、今はParagonだけど、こういう会社に注目が集まるのは良いことだね。でもこれ、別にイスラエルだけの話じゃないから。アメリカにもGraphiteよりスゴいツール売ってる会社あるけど、目立たないようにしてるだけ。商業CNEについて、ウチの国はアメリカやイスラエルよりマシって思ってるなら、それはびっくりするかもね。

なんで研究者が新しいスパイウェア見つけると、いつもイスラエルの会社なんだ？イスラエルがスパイ産業を発展させてきたからじゃないの？パレスチナでジェノサイドしてるイスラエルから責任逃れさせようとするの、マジで邪悪だよ。

あなたの話聞いてると、私の方がこのマーケット詳しい気がするな。真剣に話聞いてくれる人いるかも分かってるよ。そういう人たちへ：今回の『イスラエルがー』って話は、世界でCNEツールがどうなってるか理解する上であんま役に立たないよ。

ちょっと聞きたいんだけどさ、よくニュースになる会社って、普通のとこより『傭兵的』だと思う？

問題は世界中にスパイウェア会社があることじゃなくて、イスラエルの会社が世界で最悪の人権侵害者にばっか売ってること。NSOとかPegasusがJamal Khashoggi暗殺やMexico、Rwandaで使われたりね。Citizen Labの分析でもイスラエル企業ばっか目立つのは、Unit 8200出身者が権威主義者に売るビジネスモデルにしたからだろ。他の国と違うのは、彼らが積極的に人権侵害者に売ってる点。データがイスラエル企業の特異性を示してる。他の国にもあるとかって話で片付けるのは違う。murdered journalistsとかjailed activistsのスマホでしょっちゅうイスラエル企業の製品が見つかるんだから、注目されて当然。

俺も興味あるし、ボイコットリストに載せる会社知りたいな。こういう会社は名指しで批判されるべき。世界に悪影響しかないし、知ってる脆弱性を公開すればセキュリティ向上するのに、逆に不安で儲けてる。マジで犯罪行為だよ。

誰だか知らない会社をボイコットするって？どうせ取引してないんだから、ボイコットにならないだろ。

どんなサービスか知らないと、取引してるか分からないだろ。前にヤバい会社にサービス提供してて、GEO groupって会社だったんだけど、知ってからやめたことあるし。

超優秀なexploit開発者、どうやって見つけるんだろ？作るのに何年もかかりそうなのに。

技術自体じゃなくて、ファシスト守るためにその技術を使うって選択がマジで恥ずかしいと思うね。

へぇ、また面白い指摘だね。どうしてそんなに確信持てるのか、特にね。言いにくいけど、君が言ってるみたいな会社ってマジで興味深いよ。多分すごく不道徳で、インフォセックに興味あるなら知っておくべきだね。

まさにね。セキュリティ経験者として、自分の行動の倫理はよく考えたよ。政府の倫理ってどこにあるんだろ？ナイーブに聞こえるかもだけど、言いたいことは分かるだろ？権力者は市民より倫理が低くちゃダメだよ、民主主義のふりしたいならね。

昔Defconってカンファレンスに行ったんだ。元米国政府の人が政府のハッキングツール利用について話してて。講演後「どの国が使ってるんですか？」って聞いたら、彼はちょっと軽蔑した目で「全部だよ」って言ったんだ。

こういう製品売ってる会社は片手間じゃないよ。「AtlassianがJira売ってるけど、iPhoneの脆弱性探してるチームもある」みたいな副業じゃない。もしこういう会社で働いてたら、それがメインの仕事だからすぐ分かるはずだよ。

その投稿者にとってこれはイスラエルに関する初めての見解じゃないね。「イスラエルを支持してない、ただバランスの取れた視点を示してるだけだ」って見せかけてるけど（現実をひどく歪曲しながらね）。tptacekはこういうことに関して権威ぶるのが好きだし、ここで実際に評判があるから、彼がこんな風にイスラエルの肩を持つのは初めてじゃないって指摘しとくのは重要だと思うんだ。例として、イスラエルのページャー爆発戦争犯罪を「外科的」と呼んだこと[0]—それは断じてそうじゃなかった—とか、Hamasが提示された停戦合意を受け入れるべきだったと言ったこと[1]（返信で正しく批判されてたけど）。イスラエルがジャーナリストの電話をスパイする点で他の国より「良くも悪くもない」と主張するのは馬鹿げてるよ。特にその理由を見ればね。
0 - https://news.ycombinator.com/item?id=415708061
1 - https://news.ycombinator.com/item?id=42720493

なんで彼らのこと聞いたことあるかって？ヒント：素晴らしいマーケティング部門があるからじゃないよ。暗殺されたジャーナリストや投獄された反体制派の電話から製品が見つかり続けたからさ。ちょっと君のこと調べたけど、この業界を明らかに知ってるね。だから君がNSOより「もっと効果的な」ツールを持つアメリカ企業がいるって言う時、仮定の話じゃなくて専門知識から話してるんだと思う。君の反応は、川を汚染して数十人を殺した会社の話を聞いた化学業界のベテランが「ACME Chemicalsのこと知ってるから怒ってるだけだろ」って言うのに似てるね。可能性は二つ。君は他の会社が同等の危害を加えてるのを知ってて平気か、独自に破壊的な会社を合法的なビジネスと偽って同等にして擁護してるか。どっちにしろ、君の業界の信頼性を使って記録された残虐行為を軽視してる。君の専門知識からして、それは明らかに無知じゃなくて選択だよ。トーマス、君はどっち？同等の人権侵害の内部知識を持ってて黙ってたのか？それとも業界の評判を守るために記録された残虐行為を軽視してるのか？NSOに注目が集まるのは、彼らが埋めるのを手伝った墓があるからだよ。君の返信は君がそれについてどこに立ってるかを正確に教えてくれる。素晴らしい一日を。ミラーの一つや二つを通り過ぎて、本当に自分自身を見るのに耐えられることを願ってるよ。

ほぼ全てのイスラエル市民は義務兵役を終える必要がある。つまり、地元のパン屋さんでも家にいるプログラマーでも、何らかの形でIDFで働いた経験がある可能性が高いってことだね。

手短に言うと：Unit 8200だよ。Unit 8200はイスラエルのエリート軍情報サイバー部隊で、強制兵役付きのNSAみたいな感じ。イスラエル人は10代後半から20代前半で兵役に就き、一番技術に長けてて有望な新兵がUnit 8200に入るんだ。そこで彼らは国の費用で世界レベルの攻撃的サイバー能力を開発する。兵役を終えると、そのスキルをNSO、Candiru、Paragonみたいな会社に直接持っていく。これは秘密じゃないよ。これらの会社はしばしば資金提供を受けてるし、積極的にUnit 8200の卒業生を募集してるんだ。人材は必ずしも見つけられるんじゃなくて、国によって製造され、それから民間部門に引き渡される。だからイスラエルのスパイウェアはすごく効果的なんだ。おそらく、それは商業的なR＆Dじゃなくて、利益目的とほとんど倫理的監督のない軍事レベルの能力なんだ。

みんな、Exploit開発者はどうやって見つけると思う？ 競りでしょ。なんでレアアースみたいに戦略資源だと思うんだ？ 世界中、発展途上国にもいるって。

彼らの独占市場は他にもあるよ。VPNの大手Kape Technologiesとかも、元Unit 8200のイスラエル企業だよ。ログ取らないって言っても信じちゃダメ。Cellebriteもスマホ解析で怪しいことやってる。Justice Departmentがイスラエルに外部委託した機能にバックドアがないなんて、信じろっていうのかね。Inslaw／PROMISみたいにさ。

なんで誰もスパイウェアの会社名を言わないんだろうね？ tptacekは面白くないって言うけど、そんなことないだろ。違法じゃないなら名前を隠す必要ないはず。具体的なこと言うと、業界に影響があるのか、話すのが怖いのか、どっちかだろ。あと、Google、Apple、Microsoft、Metaはすごい脆弱性研究室を持ってるけど、その研究を悪用して稼ぐことはしないんだよな。

だって、この民間企業はイスラエル軍の元エリートサイバー部隊と全部繋がってるんだよ。イスラエルの諜報部隊は世界最高峰の一つだから、驚くことないって。

スパイウェアがどこの国のどの会社のものか特定するのは、大抵難しいだろうな。これほど出所がわかること自体がすごいと思うよ。

なんでリークされたんだ？誰が？ なぜ今？ Paragonの被害者全員にWhatsAppやAppleから通知されたって、考えにくいよ。イスラエル関係者かParagonがリーク元って可能性の方が高いんじゃないの？

本気でジャーナリズムやるなら、ちゃんとしたCyber Security基礎コースから始めるべきだと思うな。誰かいいコース知らない？

ゼロクリック攻撃になんて実際何もできないだろ？できるのは二つだけ。一つは電話番号とかメールとかの識別子を秘密にすること。もう一つは、電話を持たないこと、だね。

情報を分割して管理するのがいいよ。連絡先と情報内容を別々のデバイスに置けば、片方がバレても全部分からないでしょ。全部知るには複数のシステムに侵入して情報を再構成しないといけないから、ずっと大変だし不完全になる。国家レベルの相手には効かないかもだけど、一般的な標的になら有効だと思うよ。

「電話を持つな」って意見に対して、ターゲットにされてるなら電話持ってないだけじゃダメだよ。昔ポケベルでもスパイされたことあるでしょ。

ポケベルの話はちょっと特殊だよ。電話持たないのは無理だけど、使うのを最小限にするのは悪くないかもね。俺も一週間充電しなかったことあるし。MFAとか必要な時だけ使うのはいいかも。情報セキュリティってより、画面見る時間を減らしたいって理由もあるけどね。元のコメントは適当だったけど、電話使うの減らすのはこの記事には合ってると思うよ。

ターゲットにされた人たちの中で、AppleのLockdown Modeみたいな機能を使ってた人がどれくらいいるのか気になるな。

電話を2台持つのはどうかな？1台目はSIMありでデータなしのおとり。2台目はOSが違ってSIMなし、1台目のテザリングを使ってアプリやデータを入れる。

今の世の中で「痕跡を残さない」なんて無理だよ。デジタル化された世界では、「データがない」こと自体が逆に不自然なんだから。

記者向けのデジタルセキュリティに関するブログと、セキュリティプランナーのリンクだよ。
https://freedom.press/digisec/blog/journalists-digital-secur…
https://securityplanner.consumerreports.org/statements/

WhatsAppの「ジャーナリストを標的にしたスパイウェアは許せない、企業は責任取れ」って声明、なんか「この場合以外ならスパイOKみたいに聞こえるのは俺だけ？」って思っちゃった。

見出しで米国とイスラエルだけって書いてあるの驚きだね。でも記事自体はイタリアがEU内のジャーナリストをスパイした話でしょ。クリック稼ぎなんだろうな。