2026年7月3日、カナダ・トロント大学のCitizen Labが発表したレポートを読み終えたとき、筆者の頭の中には四文字の言葉しか浮かばなかった——「皮肉の極み」。
レポートの主人公は、ギリシャ出身の元欧州議会議員ステリオス・クーログルー(Stelios Kouloglou)。彼は2022年から2023年にかけて、欧州議会「PEGA委員会」のメンバーを務めていた。この委員会の正式名称は「Pegasusおよび同等の監視スパイウェアの使用に関する調査委員会」。要するに、彼の当時の日常業務は、誰がPegasusのようなスパイウェアを使って違法に他者を監視しているのかを調査することだった。
そして、その調査の過程で、彼自身のスマートフォンがPegasusに侵入された。一度ではない。二度だ。
狩人こそが、獲物だったのである。

▲ ギリシャ人ジャーナリストで欧州議会議員のステリオス・クーログルー。出典:Citizen Lab
一、病院のベッドに横たわる患者のスマホが、その瞬間に侵入されていた
時を2022年10月21日に戻そう。この日、クーログルーはギリシャ・アテネの病院で待機的手術を受けていた。仕事中でもなければ、会議中でもない。スマホを見ることすらできない——彼はただ病院のベッドに横たわっていたのだ。
ギリシャの調査報道ジャーナリスト、タナシス・クーカキス(Thanasis Koukakis)が病院に見舞いに訪れた。このジャーナリスト自身、スパイウェアの被害者だった——2022年初め、彼のスマホはPredatorという別のスパイウェアに侵入されていたことが判明している。二人は病室で多くのことを話し合った。スパイウェア調査の進捗、PEGA委員会の活動計画について。クーカキスは記念に一枚の写真を撮った。
そしてこの日、この写真が撮影されたまさにその瞬間、クーログルーのスマホはPegasusスパイウェアによって侵入に成功していたのだ。

▲ 2022年10月21日、ギリシャ人ジャーナリストのクーカキスが病室でクーログルーを見舞った際に撮影。まさにこの瞬間、クーログルーのスマホはPegasusによって侵入されていた。出典:Citizen Lab / Thanasis Koukakis
この写真を見たとき、筆者は言いようのない不安に襲われた。写真に写る二人は、スパイウェアとどう闘うかを話し合っている。しかし彼らが知らないのは、まさにその会話をしている瞬間、一台のスマホが病室のすべての情報——会話、SMS、連絡先、そしてスケジュールに至るまで——を、画面の向こう側にいる何らかの「顧客」に絶え間なく送信し続けているということだ。
これこそが、Pegasusのような軍事グレードのスパイウェアが持つ恐ろしさの本質だ。**侵入されたことにまったく気づけない。**スマホは見た目にはまったく正常に動作する。不審なSMSもない。ポップアップもない。動作のもたつきもない。しかし、あなたのすべての通話、すべての写真、すべてのメッセージが、遠隔で誰かに読まれている。
二、ゼロクリック攻撃——何もしなくてもスマホは「陥落」する
こう疑問に思う方もいるだろう。Pegasusはいったいどうやってスマホに入り込むのか?リンクをクリックさせるか、ファイルをダウンロードさせるか、少なくとも不審な電話に出させる必要があるんじゃないのか?
答えはこうだ。そのすべてが不要である。
筆者はこの攻撃手法を最もわかりやすく説明してみよう。あなたのスマホを一軒の家だと想像してほしい。従来のウイルス攻撃は、誰かがドアをノックし、あなたを騙してドアを開けさせ、中に飛び込んでくるようなものだ。しかしPegasusのやり方はまったく異なる。そもそもノックすら必要としない。「家」そのものの構造的な欠陥を利用するのだ——たとえば、あなた自身さえ知らない壁の中の小さな亀裂。攻撃者はその亀裂に何かを差し込み、そこから内部で家全体を制御してしまう。
セキュリティ業界ではこれを「ゼロクリック攻撃(zero-click exploit)」と呼ぶ。あなたは何もクリックする必要がなく、いかなる操作も不要だ。スマホのロックを解除する必要すらない。そのまま攻撃は完了する。
クーログルーのケースに具体的に当てはめると、彼のスマホに侵入した脆弱性は「PWNYOURHOME」と名付けられている。これはAppleの「ホーム」(HomeKit)機能の脆弱性を悪用するものだ。攻撃者は特殊なメールアドレスを使ってHomeKitに登録するだけで、システム内部のエラーを誘発し、それを足がかりにスマホの制御権を奪取できる。
この全プロセスにおいて、**クーログルーは一切の通知を受け取らず、何の異常も目にしなかった。**AppleがiOS 16.3.1でこの脆弱性を修正したのは、それから数ヶ月後のことだ。侵入当時、クーログルーのスマホはiOS 15.5で動作していた——攻撃者から見れば、この扉は開け放たれていたのである。
さらに背筋が凍るのは、二度目の侵入のタイミングだ。2023年3月6日から7日にかけて。この二日間、クーログルーはアテネからブリュッセルに飛び、PEGA委員会の集中討議に参加していた。委員会は最終報告書の確定に向けて大詰めを迎えていた——この報告書は、どの国の政府がスパイウェアを濫用しているのか、どのような責任を負うべきなのかを問う内容だ。この期間に、報告書の草稿に関する議論、他の委員の立場、投票戦略までもが傍受されていたとしたら——その結果が何を意味するか、筆者が多言を要することはないだろう。
なお、Appleは実際にクーログルーに対し、3回のセキュリティ警告を送信していた。2023年3月2日、2023年8月29日、そして2024年4月10日である。しかしクーログルーは、これらの通知を受け取った記憶がまったくないと述べている。これはさほど不思議なことではない。Appleのこの「脅威通知」はサイレントで送信され、見逃されやすい。あるいは迷惑メールと区別がつかないからだ。
三、誰がこれらの「デジタル兵器」を売っているのか?——数十億ドル規模のビジネス
ここで、Pegasusの背後にいる企業——NSOグループについて触れなければならない。
イスラエルに本拠を置くこの企業は2010年に設立された。同社が販売する製品は、業界で「サイバー兵器」と呼ばれている。そのビジネスモデルは単純明快だ。政府にのみ販売し、個人や企業には売らない。Pegasusシステム一式の導入費用は、業界推定で数百万ドルから数千万ドルにのぼる。
NSOの公式見解はこうだ。Pegasusは「犯罪とテロリズムに対抗するためのツール」である。一見もっともに聞こえる——警察が監視技術を使って犯罪者を捕まえるのは、当然のことだ。しかし問題は、売ったあとはNSOは顧客がどう使うかを管理できないという点にある。そして、この「顧客」リストの中には、人権記録において決して誉められた存在ではない国々も含まれている。
2021年以降、17の国際メディアからなる「Pegasusプロジェクト」(Pegasus Project)調査連合は、Pegasusが濫用された大量の事例を次々と暴露してきた。ジャーナリスト、弁護士、反体制派の政治家、人権活動家、さらには国家元首までもが標的リストに載っていた。NSOは暴露のたびに「調査する」「顧客がそのように使用しているとは知らなかった」と繰り返すが、類似の事例は後を絶たない。
筆者は関連する裁判資料にも目を通した。2025年5月、カリフォルニア州の裁判所はNSOグループに対し、Meta(WhatsAppの親会社)への1億6800万ドルの損害賠償を命じた。NSOがWhatsAppの脆弱性を悪用し、顧客による全世界1400台のスマホの違法監視を幇助したためだ。これはスパイウェア業界において過去最大の制裁金である。
しかし筆者が最も憂慮するのは、この判決がNSOの事業を止めなかったという事実だ。テクノロジーメディアTechSpotの報道によれば、NSOは2025年11月、新たなオーナーのもとで組織を再編し復活。新たな買い手を探し続けているという。
言い換えれば、このビジネスは今も続いているのである。
四、欧州議会は初めて「狙われた」わけではない。そして最後でもないだろう
クーログルーは、Pegasusに狙われた唯一の欧州議会議員ではない。
PEGA委員会が設立される以前から、すでに4名のカタルーニャ出身の欧州議会議員がPegasusに侵入されていた。後にPEGA委員会の副委員長となるディアナ・リバ(Diana Riba)や、カタルーニャ前州首相のカルラス・プッチダモン(Carles Puigdemont)も含まれている。彼らはPEGA委員会のメンバーであり、同時にPegasusの被害者でもある。この「調査する側であり調査される対象でもある」という不条理な状況そのものが、問題の根深さを物語っている。
2024年2月には、欧州議会の安全保障・防衛小委員会の議員2名のスマホからもスパイウェアの痕跡が発見された。同年5月には、ドイツの議員ダニエル・フロイント(Daniel Freund)が別のスパイウェアCandiruに侵入されたことが確認されている。
つまり、「欧州民主主義の砦」と称される欧州議会が、今や四方八方から各種スパイウェアによって浸透されているのだ。
筆者はある決定的な細部に注目した。Citizen Labは明確に、ギリシャ政府がこの侵入を実行した証拠はないと述べている。その代わり、証拠はロシア/ベラルーシの亡命ジャーナリスト侵入事件と関連する同じ「オペレーター」——複数の欧州諸国でPegasus使用の「許可」を持つ顧客——を指し示している。言い換えれば、これはおそらく複数の国境を越えた監視作戦なのだ。
五、なぜこの出来事が重要なのか——ルールが踏みにじられているからだ
冒頭の言葉に立ち返ろう。狩人が獲物になった。これは単なるキャッチーな見出しではない。より深層の問題を指し示している——
スパイウェアの濫用を監視する者が、自らスパイウェアに容易く侵入されてしまうということは、この監視技術がもはやいかなるルールにも縛られていないことを意味する。
PEGA委員会の存在意義は、スパイウェアの使用にレッドラインを引くことだった。どのような状況下で使用できるのか?誰が承認できるのか?監視対象者はどのような権利を持つのか?しかし、委員会メンバー自身のスマホが突破され、委員会の非公開討議までもが盗聴される可能性があるとき、「レッドラインを引く」という行為そのものが極めて困難になる——なぜなら、あなたが制約しようとしている相手は、あなたがどう制約しようとしているかを事前に知っているからだ。
これはまるで、試験官が出題した問題を、受験者が試験前にすでに見ているようなものだ。試験にまだ意味はあるのか?
Citizen Labはレポートの結びで、筆者には切実かつ現実的な提案をしている。彼らはすべてのPEGA委員会メンバーとスタッフに対し、直ちにスマホのスパイウェアスクリーニングを受けるよう呼びかけている。なぜなら「包括的なスクリーニングが行われない限り、他の委員やスタッフが同様の侵入を受けたかどうかを知ることはできない」からだ。
4年が経過した。いまだに、どれだけのスマホが「陥落」したままなのか誰も知らない。
六、一般市民がこの話から学べること
率直に言って、一般の人々にとってPegasusレベルの攻撃を防御することはほぼ不可能だ。ウイルス対策ソフトをダウンロードすれば防げるような代物ではない。悪用される脆弱性は、多くの場合スマホメーカー自身すら認識していないものだ(セキュリティ業界ではこれを「ゼロデイ脆弱性」と呼ぶ)。
しかし、誰もが知っておくべきことがいくつかある。
第一に、このような脅威の存在を認識すること。 これはハリウッド映画のフィクションではない。軍事グレードのスパイウェアはすでに世界中に広く展開されており、標的はテロリストからジャーナリスト、弁護士、政治家、活動家——そしてこれらスパイウェアを調査する者たちにまで拡大している。
第二に、スマホメーカーからのセキュリティ警告に注意を払うこと。 AppleもGoogleも、国家的攻撃の標的となる可能性があるユーザーに対して「脅威通知」を送信している。もしあなたがそのような通知を受け取ったなら、無視しないでほしい。それはあなたのスマホがすでに狙われている可能性を意味している。
第三に、機密性の高い業務に従事している場合、スマホの「ロックダウンモード」(iOSのLockdown ModeまたはAndroidのAdvanced Protection)を有効にすることを検討してほしい。 これにより多くの機能が制限される——たとえば、見知らぬ相手からiMessageが届いた際、特定の添付ファイルは自動的に読み込まれなくなる——が、スパイウェア攻撃の難易度を大幅に引き上げることができる。
結び
この文章を書き終えたとき、筆者はもう一度あの病室の写真を見返した。写真の中の二人——一人はスパイウェアを調査する議員、もう一人は自らがスパイウェアに侵入されたジャーナリスト。彼らはどう監視に対抗するかを話し合っている。そして、その二人の間にある一台のスマホが、まさに同じ監視ソフトウェアによって侵入されているのだ。
この構図そのものが、私たちの生きる時代のメタファーである。
Citizen Labのレポートは、EU機関と各国議会に対し、議員の包括的なスパイウェアスクリーニングを実施するよう勧告している。しかし筆者は、スクリーニング以上に重要な問いがあると考える。監視者たちを監視しているのは、いったい誰なのか? この問いに答えなければならない。
参考リンク:
- https://citizenlab.ca/research/member-of-committee-investigating-spyware-hacked-with-pegasus/
- https://news.ycombinator.com/item?id=48779683
- https://www.wired.com/story/eu-politicians-investigated-pegasus-spyware-then-it-ended-up-on-one-of-their-phones/
- https://www.theguardian.com/world/2026/jul/03/spyware-used-against-mep-investigating-pegasus-abuses-report-finds