2025年、国際社会を揺るがす重大なサイバーセキュリティ事件が報じられました。イスラエルの民間企業 Paragon Solutions が開発したスパイウェア「Graphite」が、Meta(WhatsApp)やAppleのゼロクリック脆弱性を突いて、ジャーナリストや人権活動家を標的にしていたのです。Metaは標的となった90名以上のユーザーに通知し、Paragonに活動停止命令を送付。Citizen Labなどの研究機関も独自調査を行い、Graphiteの実際の感染事例を確認しました。
この事件の衝撃は、単に「脆弱性を悪用したサイバー攻撃」にとどまりません。問題の核心は、民間企業が提供する政府向けスパイウェアが、民主社会の根幹を支えるジャーナリストや市民社会の担い手を狙うために用いられた可能性があるという点にあります。これは、報道の自由、言論の自由、人権保護といった価値に直結する深刻な問題です。
さらに、この事件は過去の Pegasus問題 とも重なります。Pegasusはすでに世界中で政府機関による乱用が確認され、欧州議会でも規制の必要性が議論されてきました。Graphiteはそれに続く「第二のPegasus」とも言える存在であり、国際社会に新たな警鐘を鳴らしています。
こうした背景を踏まえると、Graphite事件は「技術の進歩」と「自由社会の持続可能性」という二つの課題が正面から衝突した事例といえるでしょう。本記事では、この事件の経緯や技術的仕組み、各国の反応を整理し、今後の課題を考察していきます。
Paragon SolutionsとGraphite
Paragon Solutions は2019年に設立されたイスラエルの民間サイバー企業で、その創業者には元イスラエル首相 エフード・バラク氏 など、政界・軍事分野で豊富な経験を持つ人物が関わっています。設立当初から「政府向けの監視ツール開発」を主な事業として掲げており、その存在は国際的な監視・諜報分野で早くから注目されてきました。
同社の代表的な製品である「Graphite」は、いわゆる「商用スパイウェア(mercenary spyware)」に分類されます。つまり、一般犯罪者が闇市場で流通させるマルウェアとは異なり、政府や治安機関を顧客として正規の商取引の形で提供される監視ツールです。そのため開発当初から「国家安全保障」を名目とした利用が前提とされてきましたが、実際には市民社会や報道関係者に対して利用されるケースが疑われ、国際的に大きな議論を呼んでいます。
Graphiteの特徴は以下の点にまとめられます。
- 通信傍受に特化 Pegasus(NSO Group製)が端末全体の制御やマイク・カメラの操作など包括的な監視を可能にするのに対し、Graphiteは WhatsAppやSignalなどメッセージングアプリの通信傍受に特化。即時的な情報収集を重視した設計と考えられます。
- ゼロクリック攻撃に対応 メッセージを開いたりファイルをクリックしたりする必要がなく、脆弱性を突いて自動感染する「ゼロクリック」手法を活用。標的に気づかれにくく、フォレンジック分析でも発見が難しいという厄介さを持ちます。
- 国家レベルの利用を想定 Graphiteは「法執行機関向け」と説明されてきましたが、販売先や利用状況は不透明です。Citizen Labの調査では、複数の国の政府機関や警察が利用している可能性が指摘されています。
こうした性質から、Graphiteは 「Pegasusに続く第二世代の政府向けスパイウェア」 とも呼ばれます。Pegasusが世界中で乱用され国際問題化したことを受けて、Paragonは「より限定的で正当性のある利用」を強調してきました。しかし、今回の事件で明らかになったのは、Graphiteもまたジャーナリストや活動家といった市民社会の担い手を狙うために用いられた可能性があるという厳しい現実です。
Graphiteは、単なる「監視ツール」ではなく、国家と市民社会の関係を根底から揺るがす存在であることが、今回の事件を通じて示されたといえるでしょう。
WhatsAppを通じた攻撃とMetaの対応
2025年1月、Meta(旧Facebook)はWhatsAppに関する重大な発表を行いました。調査の結果、Paragon Solutionsが開発したGraphiteスパイウェアがWhatsAppの脆弱性を突いて、少なくとも90名以上のユーザーを標的にしていたことが判明したのです。標的となった人物の中には、ジャーナリストや人権活動家といった市民社会の重要な担い手が含まれていました。
今回悪用されたのは CVE-2025-55177 として登録されたWhatsAppの脆弱性で、特定のURLを不正に処理させることで、ユーザー操作なしにコードを実行できるものでした。特に深刻だったのは、この攻撃が「ゼロクリック攻撃」として成立する点です。標的のユーザーはメッセージを開く必要すらなく、裏側で端末が侵害されるため、攻撃に気づくことはほぼ不可能でした。
Metaは事態を受けて次のような対応を取りました。
- 対象者への通知 被害を受けた可能性のあるアカウント所有者に対して、セキュリティ上の警告を直接通知しました。Metaはこれを「特定の国家レベルの攻撃者による高度な標的型攻撃」と表現しており、攻撃の性質が一般的なサイバー犯罪ではなく、政治的意図を持つものであることを示唆しています。
- 法的対応と停止命令 MetaはParagon Solutionsに対して、攻撃行為の即時停止を求める「Cease-and-Desist(停止命令)」を送付しました。これは過去にPegasus(NSO Group)を相手取った訴訟と同様、政府系スパイウェアに対して法的手段を用いた再発防止策の一環です。
- 研究機関・当局との協力 MetaはCitizen Labをはじめとする研究機関や各国当局と情報を共有し、感染端末の調査や技術的分析を進めています。この連携により、Graphiteの実際の動作や感染経路の特定が進み、事実の裏付けが強化されました。
また、Metaがこの件で特に強調したのは「民間企業が提供するスパイウェアが、報道や市民社会を脅かす手段として利用されている」という点です。Metaは2019年にもNSO GroupのPegasusがWhatsAppを通じて乱用されたことを明らかにし、その後、訴訟に踏み切りました。その経緯を踏まえると、今回のParagonに対する対応は、Pegasus事件に続く「第二の戦い」と位置づけることができます。
Pegasusの時と同じく、Metaは 「プラットフォーム提供者として自社のサービスを監視ツールに利用させない」という強い立場 を打ち出しました。つまり、今回の停止命令や法的措置は、単なる被害対応ではなく、「市民社会を守るために大手テクノロジー企業が政府系スパイウェアに正面から対抗する」という広い意味を持っています。
このように、WhatsAppを通じた攻撃の発覚とMetaの対応は、Graphite事件を単なる技術的脆弱性の問題ではなく、国際的な人権・民主主義の問題として浮上させる契機となったのです。
Citizen Labによる調査と実被害
カナダ・トロント大学の研究機関 Citizen Lab は、今回のGraphiteスパイウェア事件の真相解明において中心的役割を果たしました。同研究所はこれまでも、NSO GroupのPegasusやCandiruといった政府系スパイウェアの乱用を世界に先駆けて明らかにしてきた実績があり、今回のGraphite調査でもその専門性が遺憾なく発揮されました。
調査の経緯
MetaがWhatsAppのゼロクリック攻撃を検知し、標的となったユーザーに通知を送った後、Citizen Labは複数の被害者から協力を得て端末を精査しました。特にジャーナリストや人権活動家の協力により、感染が疑われるスマートフォンを直接調べることが可能となり、フォレンジック分析によってGraphiteの痕跡が確認されました。
技術的分析手法
Citizen Labは、以下のような手法で感染を確認しています。
- ログ解析:iOS端末のシステムログを詳細に調査し、不自然なクラッシュ記録や不正アクセスの痕跡を発見。
- 通信パターン調査:特定のC2(Command & Control)サーバーへの暗号化通信を確認。Graphite特有の挙動と一致する部分があった。
- メモリフォレンジック:不審なプロセスの残存データを抽出し、Graphiteの攻撃コード片を特定。
これらの検証により、少なくとも3名の著名ジャーナリストが実際にGraphiteによる感染を受けていたことが立証されました。感染経路としては、AppleのiMessageに存在していた CVE-2025-43300 のゼロクリック脆弱性が利用されており、悪意ある画像ファイルを受信しただけで端末が侵害されるという深刻な手口が確認されています。
確認された実被害
Citizen Labが確認した標的の中には、ヨーロッパを拠点に活動するジャーナリストや市民社会関係者が含まれていました。これらの人物は政府の汚職、移民政策、人権侵害などを追及しており、監視の対象として選ばれた背景には 政治的動機 がある可能性が高いと見られています。
また、感染した端末では、メッセージアプリ内のやりとりが外部に送信されていた痕跡が発見されており、取材源や内部告発者の匿名性が危険に晒されていたことが推測されます。これは報道活動における基盤を揺るがす重大な侵害であり、ジャーナリズムに対する直接的な脅威となりました。
国際的な意味合い
Citizen Labの報告は、Graphiteが単なる「理論上のリスク」ではなく、実際に政府関係者やその委託先によって利用され、市民社会に被害を与えていることを初めて裏付けました。この発見は、各国政府や国際機関に対して、スパイウェア規制の必要性を強く訴える根拠となっています。
特に欧州連合(EU)はすでにPegasus問題を契機に議会での調査を進めており、Graphiteの存在はその議論をさらに加速させる要因となっています。
技術的仕組み ― ゼロクリック攻撃とは何か
今回のGraphite事件で最も注目を集めたのが「ゼロクリック攻撃」です。従来のマルウェア感染は、ユーザーが怪しいリンクをクリックしたり、添付ファイルを開いたりすることで成立するのが一般的でした。しかしゼロクリック攻撃はその名の通り、ユーザーの操作を一切必要とせずに感染が成立する点に特徴があります。
攻撃の基本的な流れ
Graphiteが利用したゼロクリック攻撃の流れを整理すると、以下のようになります。
- 脆弱性の選択と悪用
- WhatsAppのURL処理バグ(CVE-2025-55177)
- AppleのImageIOライブラリにおける画像処理のメモリ破損バグ(CVE-2025-43300) 攻撃者はこれらのゼロデイ脆弱性を組み合わせ、ユーザーが特定の操作を行わなくてもコードを実行できる環境を作り出しました。
- 悪意あるデータの送信
- 標的ユーザーに対して、WhatsApp経由で不正な形式のデータや画像を送信。
- 受信した時点で脆弱性がトリガーされ、任意のコードが実行される。
- スパイウェアの導入
- 攻撃コードは端末のメモリ上でスパイウェアの初期モジュールを展開。
- そこからC2(Command & Control)サーバーと通信し、フル機能のGraphite本体をロード。
- 持続性の確保とデータ収集
- 感染後はバックグラウンドで動作し、WhatsAppやSignalなどのメッセージアプリに保存される通信を傍受。
- ログやスクリーンショット、連絡先データなどを取得し、外部サーバーに送信。
- 一部の亜種は再起動後も動作するため、長期的監視が可能。
防御が困難な理由
ゼロクリック攻撃が恐ろしいのは、ユーザーの意識や行動では防ぎようがないという点です。
- 「怪しいリンクを踏まない」「不審な添付を開かない」といった従来のセキュリティ教育が通用しない。
- 感染時の挙動が非常に目立たず、端末利用者が違和感を覚えることもほとんどない。
- 攻撃に利用されるのはゼロデイ脆弱性(未修正の欠陥)であることが多く、セキュリティアップデートが出るまで防御は難しい。
過去事例との比較
Pegasus(NSO Group製)でも、iMessageを経由したゼロクリック攻撃が確認されており、世界各国で数千台規模の端末が侵害されました。Graphiteの手口はこれと類似していますが、Pegasusが「端末全体の制御」を目的としていたのに対し、Graphiteは「特定アプリの通信傍受」に重点を置いている点が特徴的です。つまり、Graphiteは 標的型の監視任務に最適化されたツール といえます。
今回の技術的教訓
Graphite事件から得られる最大の教訓は、ゼロクリック攻撃は高度な国家レベルの攻撃者にとって最も強力な武器になり得るということです。攻撃を防ぐためには、ユーザー側の注意ではなく、プラットフォーム提供者(AppleやMeta)が継続的に脆弱性を発見・修正し、迅速にセキュリティパッチを配布する体制が不可欠です。
イタリアでの波紋
Graphite事件の影響は特にイタリアで大きな波紋を呼びました。Citizen LabやMetaの調査により、イタリア在住のジャーナリストや移民支援活動家が標的になっていたことが明らかになったためです。これは「国家安全保障」という名目の監視活動が、国内の言論・市民活動にまで及んでいるのではないかという懸念を強める結果となりました。
標的となった人物
具体的には、オンラインメディア Fanpage.it の記者 Ciro Pellegrino 氏 が感染の可能性を指摘されました。彼は南イタリアにおけるマフィアや汚職問題を追及しており、しばしば権力層の不正を暴く記事を執筆してきた人物です。同僚の記者や編集部関係者もまた標的になったと見られており、報道機関全体に対する威嚇の意図があった可能性が考えられます。
さらに、人道支援活動家や移民救助活動に関わる人物も標的に含まれていました。中でも、移民支援団体の創設者や、地中海での難民救助活動を続ける活動家たちが攻撃対象になったことは、移民政策や人権問題に関わる批判的言説を封じ込める狙いがあったのではないかという強い疑念を生みました。
政府の対応と説明
この事態を受け、イタリア議会の監視機関 COPASIR(Parliamentary Committee for the Security of the Republic) が調査を開始しました。COPASIRの報告によると、イタリア政府はParagon Solutionsと契約を結び、Graphiteの利用を国家安全保障目的で行っていたとされています。政府側は「合法的な監視であり、不正利用ではない」と説明しましたが、ジャーナリストや活動家が標的に含まれていた事実との矛盾が指摘されています。
国際的な批判が高まる中で、イタリア政府は最終的に Paragon Solutionsとの契約を終了 しました。ただし、その判断が「問題発覚を受けた政治的判断」なのか、「監視活動がすでに目的を終えたからなのか」は明確にされておらず、透明性は依然として欠けています。
活動家による国際的訴え
さらに注目されたのは、スーダン出身でイタリア在住の人権活動家 David Yambio 氏 が、自身のスマートフォンがGraphiteに感染したとされる件を 国際刑事裁判所(ICC) に正式に通報したことです。彼はリビアで拷問や人権侵害を受けた難民の証言を収集・共有する活動を行っており、その過程で監視を受けていたことが確認されました。この出来事は「人道問題の記録そのものが国家レベルの監視対象になる」という危険性を象徴する事例となりました。
政治的背景と社会的影響
イタリアでは近年、移民政策や治安維持をめぐる政治的対立が激化しており、特に右派政党は「治安維持」「不法移民対策」を掲げて強硬な政策を打ち出してきました。そのような中で、政府がGraphiteのような強力な監視ツールを利用していた事実は、「治安対策」の名の下に言論や市民社会を監視・抑圧する危険性を浮き彫りにしています。
この問題はイタリア国内だけにとどまらず、欧州全体に波及しました。EUはPegasus事件に続き、Graphite事件も「報道の自由と市民社会に対する脅威」として議会で取り上げ、規制の必要性を検討する流れを強めています。
国際的影響と人権団体の反応
Graphite事件は、イタリア国内にとどまらず、国際的にも大きな波紋を広げました。民間企業が開発したスパイウェアが複数の国で市民社会の担い手を標的にしたという事実は、民主主義社会の根幹を揺るがす問題として広く認識されたのです。
EUにおける動き
欧州連合(EU)はすでにPegasus問題を契機に「スパイウェア規制」に向けた議論を進めていましたが、今回のGraphite事件によって議論はさらに加速しました。欧州議会の一部議員は、
- EU加盟国における政府系スパイウェア利用の透明化
- 独立機関による監査体制の強化
- ジャーナリストや人権活動家に対する監視を禁止する明文規定 を盛り込んだ規制立法を提案しています。
欧州議会の人権委員会は声明の中で「報道や市民社会の自由が監視によって萎縮することは、民主主義そのものに対する挑戦である」と警告しました。
米国の対応
アメリカでもGraphiteは注目されています。既にバイデン政権下ではPegasusなどのスパイウェアを利用する外国企業を制裁対象に加える動きが進められており、Paragon Solutionsについても同様の措置を検討する声が上がっています。米議会の一部議員は、「米国政府機関がParagon製品を調達していたのではないか」という疑念についても調査を求めており、今後の外交問題化が懸念されています。
国連や国際機関の視点
国連の特別報告者(表現の自由担当)は、Graphite事件に関連して「ジャーナリストや人権擁護者に対する監視の常態化は国際人権規約に抵触する可能性がある」と指摘しました。また、国際刑事裁判所(ICC)には、イタリア在住の活動家 David Yambio 氏が監視被害を正式に通報したことで、スパイウェア利用が国際刑事事件として審議対象となる可能性が浮上しています。
人権団体の反応
市民社会団体や人権NGOも強い懸念を表明しました。
- Access Now は、「Paragon Solutionsは透明性を欠いたまま被害者を増やしており、即刻説明責任を果たすべきだ」とする声明を発表。
- Reporters Without Borders(国境なき記者団) は、「報道機関やジャーナリストを狙う行為は報道の自由を踏みにじるもの」として、国際的な制裁を求めました。
- Amnesty International もまた、Pegasusに続く事例としてGraphiteを「人権侵害の象徴」と位置づけ、スパイウェア規制を強く訴えています。
社会的インパクト
こうした国際的反応の背景には、「市民社会の自由と安全が脅かされれば、民主主義国家の信頼性そのものが揺らぐ」という危機感があります。単なるサイバーセキュリティの問題ではなく、政治・外交・人権の交差点に位置する問題として、Graphiteは今後も各国の政策議論を左右し続けるでしょう。
教訓と今後の課題
Graphite事件から私たちが学ぶべき教訓は多岐にわたります。この問題は単なるセキュリティインシデントではなく、技術・政策・社会の三領域が交錯する課題として理解する必要があります。
技術的な教訓
- ゼロクリック攻撃の深刻さ Graphiteの事例は、ユーザーの行動を介さずに感染するゼロクリック攻撃の脅威を改めて浮き彫りにしました。従来の「怪しいリンクを開かない」といったセキュリティ教育は無効化され、脆弱性そのものをいかに早期発見・修正するかが焦点となっています。
- プラットフォーム提供者の責任 今回の対応では、MetaやAppleが迅速に脆弱性修正やユーザー通知を行ったことが被害拡大の防止につながりました。今後も大手プラットフォーム事業者には、脆弱性ハンティング、バグバウンティ制度、迅速なアップデート配布といった取り組みをさらに強化することが求められます。
- フォレンジック技術の重要性 Citizen Labの分析がなければ、Graphiteの存在は「疑惑」にとどまっていた可能性があります。感染の痕跡を特定し被害を立証する デジタルフォレンジック技術 の発展は、今後もスパイウェア対策の要となるでしょう。
政策的な課題
- スパイウェア市場の規制 GraphiteやPegasusのような製品は「政府専用」として販売されていますが、実態は市民社会に対する乱用も確認されています。武器貿易と同様に、輸出規制・使用制限・顧客の透明化といった国際的なルール作りが不可欠です。
- 国際的な枠組み作り EUはすでにスパイウェア規制の立法を検討しており、米国も制裁措置を通じて規制の圧力を強めています。これに加えて、国連レベルでの国際条約や監視機関の設立が議論されるべき段階に来ています。
- 民主社会での均衡 政府は治安維持やテロ対策を理由に監視技術を導入しますが、それが市民社会を過度に萎縮させれば逆効果となります。安全保障と人権の均衡を取る制度設計こそ、今後の課題です。
社会的な教訓
- ジャーナリズムと市民社会の保護 Graphite事件の標的となったのは、政府の不正や人権侵害を監視するジャーナリストや活動家でした。これは「権力を監視する存在」が逆に監視されるという逆転現象を意味します。社会としては、彼らを守る仕組み(暗号化通信、法的保護、国際的な支援ネットワーク)がより重要になっています。
- 一般市民への波及 今回の標的は限定的でしたが、技術的には一般市民を監視対象にすることも可能です。監視の矛先が「一部の活動家」から「市民全体」に拡大するリスクを踏まえ、社会全体が問題意識を持つ必要があります。
- 透明性と説明責任 イタリア政府がParagonとの契約を終了したものの、その理由や経緯は曖昧なままです。市民が安心できるのは、透明性を伴った説明責任が果たされてこそです。
まとめ
Graphite事件は、技術の高度化が民主主義社会にどのようなリスクをもたらすかを示す象徴的な事例です。ゼロクリック攻撃の存在は「セキュリティはユーザー教育だけでは守れない」ことを示し、民間スパイウェアの乱用は「政府権力が市民社会を抑圧し得る」ことを浮き彫りにしました。
今後の課題は、テクノロジー企業・政府・国際機関・市民社会が連携して、透明性のある規制と安全保障のバランスを確立することに尽きるでしょう。
おわりに
Paragon SolutionsのGraphiteスパイウェア事件は、単なる一企業の問題や一国のセキュリティ事案にとどまらず、テクノロジーと民主主義の衝突を象徴する出来事となりました。
本記事で整理したように、GraphiteはWhatsAppやiMessageといった日常的に利用されるプラットフォームのゼロクリック脆弱性を悪用し、ジャーナリストや人権活動家を標的にしました。これによって、「監視する側」と「監視される側」の境界線が国家と市民社会の間で曖昧になりつつある現実が浮き彫りになりました。
この事件から得られる教訓は複数あります。技術的には、ゼロクリック攻撃がもはや理論的な脅威ではなく、実運用される段階に到達していること。政策的には、民間スパイウェア市場が国際的な規制なしに拡大すれば、権力濫用の温床となり得ること。社会的には、ジャーナリストや市民活動家が監視対象になることで、報道の自由や人権活動そのものが委縮しかねないという現実です。
歴史を振り返れば、権力が情報を独占し、反対勢力を監視・抑圧することは繰り返されてきました。しかし、現代におけるGraphiteやPegasusのようなツールは、かつての諜報手段をはるかに凌駕する精度と匿名性を備えています。その意味で、この事件は「デジタル時代の監視国家化」が現実の脅威であることを改めて示したと言えるでしょう。
では、私たちはどう向き合うべきか。
- テクノロジー企業は脆弱性の早期修正とユーザー通知を徹底すること。
- 政府は安全保障と人権のバランスを保ち、透明性ある説明責任を果たすこと。
- 国際社会は輸出規制や利用制限といった制度的な枠組みを強化すること。
- そして市民は、この問題を「遠い世界の話」ではなく、自分たちの自由と安全に直結する課題として認識すること。
Graphite事件はまだ終わっていません。むしろこれは、今後のスパイウェア規制やデジタル人権保護に向けた長い闘いの序章に過ぎないのです。
民主主義の健全性を守るためには、技術に対する批判的視点と制度的制御、そして市民社会の不断の監視が不可欠です。Graphiteの名前が示す「鉛筆(graphite)」のように、権力を記録し可視化するのは本来ジャーナリストや市民社会の役割であるはずです。その彼らが標的にされたことは、私たちすべてに対する警告であり、これをどう受け止め行動するかが未来を左右するでしょう。
参考文献
- US-backed Israeli company’s spyware used to target European journalists, Citizen Lab finds
https://apnews.com/article/f36dd32106f44398ee24001317ccf2bb - Italian government denies it spied on journalists and migrant activists using Paragon spyware
https://apnews.com/article/21803e69ec6ce5802ea5759a8f4daa4d - Activist alerts ICC to spyware attack while sharing Libya torture victims’ details
https://www.theguardian.com/world/2025/mar/19/italian-activist-david-yambio-alerts-icc-spyware-attack - WhatsApp disrupts spyware campaign targeting journalists
https://www.theverge.com/news/604100/whatsapp-meta-spyware-paragon-solutions - First forensic confirmation of Paragon spyware finds journalists targeted
https://citizenlab.ca/2025/06/first-forensic-confirmation-of-paragons-ios-mercenary-spyware-finds-journalists-targeted - A first look at Paragon’s proliferating spyware operations
https://citizenlab.ca/2025/03/a-first-look-at-paragons-proliferating-spyware-operations - Meta’s WhatsApp says Israeli spyware company Paragon targeted scores of users
https://www.reuters.com/technology/cybersecurity/metas-whatsapp-says-israeli-spyware-company-paragon-targeted-scores-users-2025-01-31 - Report on Paragon Spyware
https://www.schneier.com/blog/archives/2025/03/report-on-paragon-spyware.html - Australian government agencies could be customers of Israeli spyware, research suggests
https://www.theguardian.com/technology/2025/mar/21/australian-government-agencies-could-be-customers-of-israeli-spyware-research-suggests-ntwnfb - Paragon must answer for spyware use against civil society (Access Now)
https://www.accessnow.org/press-release/paragon-must-answer-for-spyware-use-against-civil-society
