EU議員がPegasus調査中に自身もスパイウェア被害
原題: EU Politicians Investigated Pegasus Spyware. Then It Ended Up on One of Their Phones
なぜ重要か
EU立法機関の内部調査活動そのものが商用スパイウェアの標的となった事実は、民主主義制度に対するサイバー脅威の深刻さと規制の緊急性を改めて示す。
2022年夏、欧州議会のPEGA委員会でPegasusスパイウェアを調査していたギリシャ人議員Stelios Kouloglouのiphoneが、同年秋に調査対象のPegasusそのものによって複数回にわたり侵害されていたことが、カナダ・トロント大学のCitizen Labの法医学分析により2026年7月3日に明らかになった。PEGA委員会メンバーが在任中に被害を受けたと確認されたのは今回が初めて。
欧州議会は2022年、イスラエル企業NSO Groupが開発したPegasusスパイウェアの悪用実態を調査するためPEGA委員会を設置した。2015年から2024年まで欧州議会議員(MEP)を務めた元調査報道記者のStelios Kouloglouはその一員として、スパイウェア被害者へのインタビューや高プロファイルな事例の調査のために各地を訪問していた。
Citizen Labが2026年7月3日に公表した報告書によると、Kouloglouの iPhoneは2022年秋、調査対象であるPegasusによって複数回侵害されていた。PegasusはiOSおよびAndroidの脆弱性を悪用し、マイク・カメラのアクセス、メッセージ、連絡先、閲覧履歴、写真などを窃取できるマルウェアで、Citizen Labが2016年に初めて発見した。
Citizen Labの研究者たちは、攻撃を行った政府や組織について conclusiveな証拠は得られていないとしつつも、攻撃者がPEGA委員会の内部活動や調査内容にアクセスできた可能性があり、EUの議会機密要件や個人のプライバシーを侵害した恐れがあると指摘している。
Citizen Lab上級研究員のJohn Scott-Railtonは「欧州の立法者を狙ったスパイウェアが野放しになっている。欧州議会も各国議会も、誰も備えができていない」とコメントした。
Kouloglou本人はWIREDの取材に対し「衝撃を受け、その後怒りを感じた。Pegasus委員会の委員として調査していた自分が同時にPegasusにハックされていたとは、あまりにも無謀な行為だ」と述べた。
NSO Groupは今回の報告書に関するWIREDのコメント要請に応じなかった。同社はイスラエルに本社を置くが、2025年に米国を拠点とする投資家が過半数株式を取得している。2022年のEUによる調査は、12以上のメディアとNGOによる「Pegasusプロジェクト」の報道・調査を受けて始まり、少なくとも180人のジャーナリストを含む広範な標的リストの存在が明らかになっていた。