スイス連邦警察省と国防省が携帯電話のiPhoneやコンピューターで使用する暗号解読ソフトウェアがロシア製であることが分かった。専門家らはセキュリティ上のリスクを指摘している。
暗号化されたデータの復号ソフトを販売する「ElcomSoft(エルコムソフト)」はロシア・モスクワに本社を置く民間会社だ。デジタル・フォレンジック(電子鑑識)向け製品を主軸に、記録媒体に含まれた法的証拠の捜査や、民間企業がパスワードの復元や携帯電話・コンピューターの復号化に使うソフトウェアなどを製造している。
こうした同社製造のアプリケーションがスイス連邦司法警察省警察局(fedpol)や連邦国防省装備局(Armasuisse)でも使われていることが、イタリア語圏スイス公共放送(RSI)の調査で分かった。ロシアからのサイバー攻撃の脅威が高まる中、専門家らは同国製品を使用するリスクに警鐘を鳴らしている。
本社はモスクワに
公式ウェブサイトによると、エルコムソフトの本拠地はチェコ・プラハだ。しかし実際には、本社はモスクワにある。ロシアの住所は、ロシアのウクライナ侵攻後にウェブサイトから削除された。RSI調査班が過去のウェブサイトを閲覧できるツール「ウェイバック・マシン(Wayback Machine)」で検索すると、本社の住所はウクライナ侵攻3カ月前の2021年11月時点でモスクワになっていた。
エルコムソフトは現在もモスクワで営業を続けている。RSIはロシアの貿易登記から裏付けとなる情報を発見したほか、ビジネス特化型SNS「LinkedIn(リンクトイン)」上で、同社従業員、プログラマー、さらにはCEOがロシアで暮らしていることを突き止めた。
エルコムソフトは1990年代に設立された。同社ウェブサイトによると、「コンピュータ・フォレンジック、モバイル、クラウドの分野で、刑事捜査および法執行機関にソリューションを提供する」。製品の中には、パスワードを復元したり、パスワードでロックされた携帯電話やコンピューターにアクセスしたりするためのソフトウェアもある。これらのソフトウェアは、iPhoneやコンピューターへの侵入にも使用することができる。
スイス連邦当局もエルコムソフトを使用
RSIの報道によると、エルコムソフトはウェブサイトで、同社製品が世界企業番付「フォーチュン500」リストに掲載されている「ほとんどの企業」で使用されているほか、「軍の部隊、外国政府、すべての大手会計事務所」でも使用されているとしている。
少なくともエルコムソフトの主張はそうだ。顧客リストには、スイス連邦警察と連邦国防省の名もあった。国防省はRSIのメール取材に応じ、「テスト目的でこのメーカー(エルコムソフト)からソフトウェアを購入した」と説明した。ただ、どのようなテストなのか、製品がどのように使用されたのかは明らかにしていない。
一方、連邦警察は当初、セキュリティ上の懸念を理由にRSIの取材を拒否した。
RSIが透明性に関する法律を盾に情報開示を求めると、連邦警察は「2024年にエルコムソフトから4つの製品のライセンスを購入した」ことについて確認を得ることができた。連邦警察は、製品は「オフライン(ネットワークに接続されていない状態)」のみでしか使用しておらず、過去数年間にわたり「名称が変更された同等の製品を購入している」と説明した。
武器に等しいソフトウェア
テクノロジー専門家で、ヴァレー(ヴァリス)州の元データ保護責任者のセバスティアン・ファンティ氏は、この種のソフトウェアの使用は国のサイバーセキュリティにとって深刻な問題を引き起こすと指摘する。「エルコムソフトはロシアの会社で、監視のためのフォレンジック製品を開発している。つまり、ロシアの法律が適用される企業だということだ。ロシア当局や諜報機関は、このソフトウェアを使って行われた調査の結果にアクセスできる可能性がある」
ファンティ氏は、連邦警察が製品プログラムを「オフライン」のみで使用していたとしても安心できないという。「このソフトウェアが何からのタイミングでネットワークに接続し、アクセスした誰かがすべてのデータを抜き取れるようにしてしまうことが懸念される。こうした『バックドア』がないという保証はあるのか?何もない」
「バックドア」とは「コンピューターへのアクセスに使われるシークレット・ポートで、通常、メンテナンス目的で使われることが多いデフォルト・インストール」のことを指す。ファンティ氏はこうしたバックドアは「ソフトウェアが自国に対して使用されないことを確認するためにインストールされることもある」という。
ファンティ氏は、どこの国も「パートナー選びには慎重にならなければならない」と考えている。「国家がリスクを冒してはならない。法律や民主的なルールの尊重が保証されている国で働く、信頼できるパートナーが好まれるはずだ。しかしロシアはそれに当てはまらない」。同氏にとって、この監視ソフトは「武器」も同然だ。「武器と同じように扱われるべきだ」
スイス連邦議会でも懸念
こうしたソフトウェアの使用に対し、スイス連邦議会からも疑問の声が上がっている。コンピューター科学者で、下院安全保障政策委員会に所属するゲルハルト・アンドレイ議員は、このソフトウェアに対し懸念を抱いている。「これは正真正銘、iPhoneをハッキングするためのツールだ。例えばロシアや中国など、私たちにとって問題となる国に拠点を置く外国製ツールや企業に依存しすぎているとしたら、それは問題だ」。今回のケースは明らかに、アップルコンピューターや関連デバイスをハッキングするために使用される、非常に機密性の高いソフトウェアだという。
アンドレイ氏もまた、このソフトウェアが「オフライン」、つまりネットワークから切断された状態で使用されていても、100%安全というわけではないと考える。「一般的に、この種のアプリケーションはインターネットに接続して使うべきではない。セキュリティー上、非常に複雑で危険だからだ」
また、定期的に発生するソフトウェアのアップデートも問題の1つだという。「アップデートはどこからか来る。それがスイス以外のプロバイダーである場合、データ転送にはソフトウェアのセキュリティ管理を徹底する必要がある」
英語からの翻訳:大野瑠衣子、校正:ムートゥ朋子
