米連邦判事は、スパイウェア企業NSO Groupに対し永久的な差し止め命令を発令し、Pegasusツールを使ってWhatsAppユーザーを標的にすることを禁止した。この判決は、WhatsAppの親会社Metaが2019年に提起した訴訟に由来し、NSOがジャーナリスト、活動家ら約1,400台のデバイスを感染させようとしたと非難したものである。この決定は、NSOに取得したデータの削除を要求し、エンドツーエンド暗号化への被害を強調している。
2025年10月17日、カリフォルニア北部地区連邦地方裁判所のフィリス・J・ハミルトン判事は、Metaの長引くNSO Groupに対する訴訟で、永久的な差し止め命令の要請を認めた。この訴訟は2019年に提起され、NSOがPegasusスパイウェアを使って約1,400台の携帯電話を密かに標的にしたと主張しており、多くの電話が弁護士、ジャーナリスト、人権活動家、政治的反体制派、外交官、高位の外国政府関係者の所有物だった。作戦の一環として、NSOは偽のWhatsAppアカウントを作成し、Metaのインフラを攻撃して、オープンソースのSignalプロトコルで駆動されるアプリのエンドツーエンド暗号化を突破した。
この判決は、NSOに対しWhatsAppユーザーの標的化、デバイスの感染、メッセージの傍受を永久に停止することを命じている。また、これらの努力で取得したデータの削除も命じている。ハミルトン判事はMetaへの事業的被害を強調し、次のように書いた:「裁判所の見解では、ユーザーの個人情報を扱い、その個人情報を暗号化する方法に資源を投資するあらゆる事業は、その個人情報への不正アクセスにより被害を受けます—それは単なる評判被害ではなく、事業被害です。本質的に、WhatsAppのような企業が『販売』しているもののひとつが情報プライバシーであり、不正アクセスはそれらの販売への干渉です。被告らの行為は、原告らが提供するサービスの目的の一つを無効化し、直接的な被害を引き起こします。」
NSOは、この差し止め命令がPegasusという主力製品のため事業を停止させるだろうと主張した。しかし、ハミルトン判事はMetaへの被害がそのような懸念を上回ると判断した。判事は、FacebookやInstagramなどの他のMetaプラットフォームのユーザーへの標的化を禁止するMetaのより広範な要請を、証拠不足を理由に却下し、外国政府を含めないことを決定し、彼らが訴訟の当事者ではないと指摘した。
WhatsAppの責任者ウィル・キャスカルトは声明で次のように述べた:「今日の判決は、スパイウェアメーカーNSOがWhatsAppと私たちのグローバルユーザーを二度と標的にすることを禁止します。私たちは、この決定を称賛します。これは市民社会のメンバーを標的にしたNSOを責任追及するための6年間の訴訟の後です。これは、アメリカ企業を攻撃する重大な結果があるという重要な先例を設定します。」
ハミルトン判事は、陪審の1億6,700万ドルの賞罰的損害賠償を、正しい法的基準を適用して400万ドルに減額した。Pegasusは、ユーザーの操作なしにiOSとAndroidの防御を回避するゼロクリックのエクスプロイトで知られており、NSOは検証された政府のみにライセンス供与しているが、この事件で反体制派やジャーナリストに対する乱用が明らかになった。NSOはコメント要請に応じなかった。