Paragonスパイウェアの管理画面が流出｜イスラエル製監視ツールの実態と業界の構造的問題

Paragonスパイウェアの管理画面が流出
流出した情報から分かること
Paragonはどんな企業なのか
NSOグループとの比較
スパイウェア業界の構造的問題
一般ユーザーへの影響
今後の規制の方向性

Paragonスパイウェアの管理画面が流出

イスラエルのスパイウェア企業Paragon Solutionsが、自社の監視ツールの管理画面を誤ってアップロードしてしまった。通常は厳重に秘匿されるスパイウェアの操作インターフェースが外部に露出するという、業界では異例の事態だ。

Paragonは、NSOグループ（Pegasusスパイウェアで知られる）と並ぶサイバー監視企業として知られている。政府機関向けにスパイウェアを販売しており、米国の移民・関税執行局（ICE）との200万ドル規模の契約も報じられている。

流出した情報から分かること

管理画面のスクリーンショットからは、Paragonのスパイウェアがどのような機能を持ち、どう操作されるのかが読み取れる。具体的な画面の詳細は安全上の理由から控えるが、ターゲットデバイスの遠隔操作、通信内容の傍受、位置情報の追跡といった機能が含まれていたとされる。

これまでスパイウェア企業は、自社製品の詳細を極力公開しない方針を取ってきた。技術的な仕様が判明すると、防御側がそれに対応した対策を取れるようになるからだ。今回の流出は、Paragonのオペレーションセキュリティ（OPSEC）の失敗として、業界内で注目を集めている。

Paragonはどんな企業なのか

Paragonは、イスラエルの元首相エフード・バラック氏が共同創業者に名を連ねる企業だ。NSOグループが各国政府に批判されて契約を失うなか、Paragonは「倫理的なスパイウェア企業」として差別化を図ってきた。民主主義国家にのみ販売するというポリシーを掲げ、人権侵害への加担を否定してきた。

しかし、Citizen Labの調査では、オーストラリア、カナダ、キプロス、デンマーク、イスラエル、シンガポールがParagonのスパイウェアを運用しているとみられている。また、2025年にはWhatsApp上のジャーナリストや市民活動家がParagonのスパイウェア「Graphite」の標的になったとの報告もある。

NSOグループとの比較

NSOグループのPegasusは、ゼロクリック攻撃（ユーザーが何も操作しなくても感染する手法）で広く知られている。Paragonの Graphiteも同様の手法を使うとされるが、感染経路には違いがあるようだ。

NSOは米国政府からエンティティリスト（取引制限リスト）に載せられ、事実上の制裁を受けた。一方、Paragonは米国政府との取引を維持しており、ICEとの契約を通じて移民捜査に使われている可能性がある。この非対称性は、スパイウェア規制の難しさを象徴している。

EFFは公式声明で、ICEによるParagonスパイウェアの使用に懸念を表明している。国境管理における監視技術の利用は、市民の権利との衝突が避けられないテーマだ。

スパイウェア業界の構造的問題

スパイウェア企業は、脆弱性の発見と武器化を事業モデルとしている。OSやアプリのゼロデイ脆弱性を見つけ、それを攻撃ツールに組み込んで政府に販売する。脆弱性を修正するのではなく、むしろ秘匿し続けることが事業の存続条件になっている。

この構造は、サイバーセキュリティ全体にとってマイナスに働く。スパイウェア企業が保持するゼロデイが、別の攻撃者に漏洩するリスクは常にある。今回のParagonの管理画面流出も、その危険性を具体的に示す事例だ。

2026年のサイバーセキュリティ動向を見ると、スパイウェア対策は重要なテーマの一つになっている。AppleのLockdown ModeやGoogleのAdvanced Protection Programは、スパイウェアへの防御を強化する取り組みだが、攻撃側の技術も進化し続けている。

一般ユーザーへの影響

Paragonのスパイウェアは主に政府機関が使用するため、一般ユーザーが直接の標的になる確率は低い。しかし、ジャーナリスト、人権活動家、弁護士といった職業の人々にとっては現実的な脅威だ。

対策としては、OSとアプリを常に最新の状態に保つことが基本になる。Windowsメモ帳の脆弱性のように、思わぬソフトウェアに攻撃経路が存在することもある。iPhoneユーザーならLockdown Modeの有効化も検討すべきだ。

また、WhatsAppやSignalなどのメッセンジャーアプリは、エンドツーエンド暗号化を提供しているが、デバイス自体が侵害されている場合は暗号化の意味がなくなる。メッセージが暗号化されていても、画面をスクリーンショットで撮られてしまえば同じことだ。

今後の規制の方向性

EUは、スパイウェアの使用に関する調査委員会（PEGA委員会）を設置し、加盟国でのスパイウェア利用実態を調査してきた。米国でも、商用スパイウェアの拡散を制限する大統領令が出されている。

ただ、規制と情報機関のニーズのバランスは難しい。テロ対策や犯罪捜査でスパイウェアが有効なケースがあることは否定できず、全面禁止は現実的ではない。透明性の確保と、独立した監視機関による審査が、今後の議論の焦点になりそうだ。ブラウザ拡張機能の監視問題も含め、デジタルプライバシーの守り方はますます複雑になっている。参考：Citizen Lab、TechCrunch