あなたのAndroidスマホがストーカーウェアに感染している可能性、削除方法はこちら

今日最も広く展開されている消費者向けスパイウェアの1つにセキュリティ上の脆弱性があり、約40万人の携帯電話データが危険にさらされており、その数は日々増え続けている。TechCrunchが特定したこのスパイウェアは、ベトナムの少人数の開発者によって運営されているが、セキュリティ上の問題はまだ修正されていない。

今回、問題のあるスパイウェアアプリは1つだけではない。Copy9、MxSpy、TheTruthSpy、iSpyoo、SecondClone、TheSpyApp、ExactSpy、FoneTracker、GuestSpyといった一連のアプリが、同じセキュリティの脆弱性を共有している。

しかし、修正プログラムがなく、TechCrunchはこの脆弱性に関する具体的な詳細を明らかにすることができない。知らないうちに携帯電話が危険にさらされている何十万人もの人々にもたらすリスクのためだ。

この脆弱性がすぐに修正される見込みはないため、このガイドでは、あなたのAndroidスマートフォンからこれらの特定のスパイウェアアプリを削除する方法を説明する。そうすることが安全だとあなたが思えばの話だ。

消費者向けのスパイウェアアプリは、子ども追跡ソフトウェアという名目で販売されることが多いが、同意なしにパートナーや配偶者を追跡・監視できることから「ストーカーウェア」としても知られている。これらのアプリは、Google Playのアプリストア以外のところからダウンロードされ、本人の許可なくスマホに仕込まれ、発見されないようホーム画面から消えるように設計されている。あなたが携帯電話を積極的に使用していないときでも、携帯の動作がいつもと違ったり、動作がいつもより鈍く遅くなったりすることに気づくかもしれない。

これらの一連のストーカーウェアのアプリは、雇用主が従業員の業務用携帯電話を遠隔管理するためによく使用されているAndroid搭載の機能を悪用しているため、Androidスマホが危険にさらされているかどうかのチェックは迅速かつ簡単に行える。

チェックを実行する前に、安全策を準備して欲しい。Coalition Against Stalkerware(ストーカーウェアに対抗するための取り組みを行う企業連合)は、ストーカーウェアの被害者と被害克服者のためのアドバイスとガイダンスを提供している。スパイウェアは秘密になるよう設計されているが、携帯電話からスパイウェアを削除すると、それを仕掛けた人物に警告がいく可能性が高く、安全でない状況を作り出す可能性があることに留意して欲しい。

この操作では、スパイウェアのアプリを削除するだけで、すでに収集されサーバーにアップロードされたデータは削除されないことに注意が必要だ。また、Androidのバージョンによっては、メニューオプションが若干異なる場合がある。自己責任においてこれらの手順に従って欲しい。

Google Playプロテクトの設定を確認する

Android端末のセキュリティ機能Google Playプロテクトが有効になっていることを確認する(画像クレジット:TechCrunch)

Google Playプロテクトは、サードパーティ製のものやアプリストアの悪意のあるAndroidアプリから保護するための最高のセーフガードの1つだ。しかし、スイッチをオフにすると、それらの保護機能が停止し、Google Play外のストーカーウェアやマルウェアが端末にインストールされる可能性がある。そのため、このストーカーウェアネットワークでは、スパイウェアを仕掛ける人に、動作させる前にGoogle Playプロテクトを無効にするよう促している。

Google PlayアプリからGoogle Playプロテクトの設定を確認し、有効になっていること、そして最近スキャンが完了したことを確認しよう。

アクセシビリティサービスが不正に細工されていないか確認する

ストーカーウェアは、デバイスとそのデータへの深いアクセスに依存していて、画面読み上げなどのアクセシビリティ機能を動作させるために、設計上、OSとそのデータへの広範なアクセスを必要とするAndroidのアクセシビリティ機能を往々にして悪用する。アクセシビリティのオプションの中にダウンロードした覚えがないサービスがある場合は、削除した方がいいかもしれない。ストーカーウェアのアプリの多くは「アクセシビリティ」や「デバイスヘルス」と呼ばれる、最初から入っているアプリに偽装されている。

Androidのスパイウェアは、ビルトインされたアクセシビリティ機能を悪用することが多い(画像クレジット:TechCrunch)

端末管理アプリがインストールされていないか確認する

端末管理のオプションは、アクセシビリティ機能と似ているが、さらに広範囲にAndroidにアクセスすることができる。これらの端末管理オプションは、企業が従業員の携帯電話をリモートで管理し、機能を無効化し、データ損失を防ぐためにデータを消去するためのものだ。しかし、このオプションによってストーカーウェアのアプリが画面を録画し、デバイスの所有者を盗聴することもできる。

端末管理アプリ設定の覚えのない項目は、端末侵入の一般的な指標だ(画像クレジット:TechCrunch)

ほとんどの人は個人の携帯電話に端末管理アプリを入れていないだろう。そのため「System Service(システムサービス)」「Device Health(デバイスヘルス)」「Device Admin(デバイス管理)」などの名前のついた見慣れないアプリが出てきたら要注意だ。

アンインストールするアプリを確認する

これらのストーカーウェアアプリのホーム画面アイコンは表示されないかもしれないが、Androidスマホのアプリのリストに表示されている可能性がある。Androidの設定画面にいき、アプリを表示して欲しい。そして一般的な外観のアイコンを持つ「デバイスヘルス」「システムサービス」などの無難な名前のアプリを探す。これらのアプリは、カレンダー、通話履歴、カメラ、連絡先、位置情報に広くアクセスできる。

スパイウェアのアプリは、一般的な外観のアイコンであることが多い(画像クレジット:TechCrunch)

覚えのないアプリやインストールしていないアプリがあった場合は「アンインストール」をタップする。この場合、ストーカーウェアを仕掛けた人物に、アプリがもはやインストールされていないことを警告する可能性が高いことに注意して欲しい。

携帯電話を保護する

ストーカーウェアが仕かけられていた場合、携帯電話のロックが解除されていた、無防備になっていた、あるいは画面ロックを推測・学習されていた可能性が高い。より強力なロック画面のパスワードは、未来のストーカーからあなたの携帯電話を保護するのに役立つ。また、電子メールやその他のオンラインアカウントは、可能な限り二要素認証で保護すべきだ。

あなたやあなたの知り合いが助けを必要としている場合、National Domestic Violence Hotline (1-800-799-7233)が家庭内虐待や暴力の被害者に24時間365日無料で極秘のサポートを提供している。緊急事態の場合は911に通報を。また、Coalition Against Stalkerwareは、あなたの携帯電話がスパイウェアによって侵害されていると思われる場合のリソースを提供している。この記事の執筆者には、SignalとWhatsAppの+1 646-755-8849、またはzack.whittaker@techcrunch.comでコンタクトを取れる。

画像クレジット:Bryce Durbin / TechCrunch

原文へ

(文:Zack Whittaker、翻訳:Nariko Mizoguchi

2021年に知ることになったサイバーセキュリティの6つのポイント

この12カ月間におけるサイバーセキュリティは、暴れ馬のようだった。サイバーセキュリティで何もかもが壊れ、あとはそのことを認めるだけとなり、そして今年、2021年は、特に年末にかけて何もかもが一度に壊れた。しかし、何はともあれ、私たちはこれまで以上に多くのことを知り、この年を終えることになる。

この1年で、私たちは何を学んだのだろうか。

1.ランサムウェアの被害で大きいのはダウンタイムであり身代金ではない

ファイルを暗号化するマルウェアの被害が続いている。2021年だけでもランサムウェアは町全体にオフラインを強いることになり、給与の支払いをブロックし、燃料不足を招いた。企業のネットワークの全体が、数百万ドル(数億円)の暗号資産と引き換えに人質に取られたからだ。米財務省の推計では、ランサムウェアの2021年の被害額は、これまでの10年を合わせた金額よりも多い。しかし研究者たちによると、企業の被害の大半は、生産性の落ち込みと被害後の困難な後始末作業によるものだ。後者には、インシデント対応や法的サポートも含まれる。

関連記事:ランサムウェアが企業に与える莫大な金銭的被害は身代金だけじゃない

2.FTCはモバイルのスパイウェアメーカーに被害者の通知を命じることができる

SpyFoneは、2021年9月の連邦取引委員会(FTC)からの命令により米国で禁止される初めてのスパイウェアになった。FTCはこの「ストーカーウェア」アプリのメーカーを、人目につかない秘かなマルウェアを開発し、ストーカーや米国ないの悪意を持つ者が、被害者のスマートフォンのメッセージや位置情報の履歴などを知られることなくリアルタイムでアクセスできるようにしたと訴えた。さらにFTCはSpyFoneに、同社が不法に集めたデータをすべて削除し、同社のソフトウェアによってスマートフォンをハックされた人たちに通知することを命じている。

関連記事:米連邦取引委員会がスパイウェアSpyFoneを禁止措置に、ハッキングされた被害者に通知するよう命令

3.サイバーセキュリティへのVCの投資は2020年に比べて倍増

2021年はサイバーセキュリティへのVCの投資が、記録破りの年だった。8月には、投資家たちが2021年の前半に115億ドル(約1兆3242億円)のベンチャー資金を投じたことが明らかとなっている。これは2020年の同時期に投じられた47億ドル(約5412億円)の倍以上の額となる。最大の調達はTransmit Securityの5億4300万ドル(約625億円)のシリーズAと、Laceworkの5億2500万ドル(約605億円)のシリーズDだった。投資家たちは、クラウドコンピューティングとセキュリティのコンサルティング、およびリスクとコンプライアンス方面の好調が投資に火をつけたという。

関連記事
パスワードのない世界を目指すTransmit Securityがサイバーセキュリティ史上最大のシリーズAで約601億円調達
クラウドセキュリティのLaceworkが2年連続収益300%増で約545.7億円のシリーズD投資調達

ハイテク企業がユーザーデータの最大の保有者であることは周知の事実であり、意外にも、犯罪捜査のための情報を求める政府のデータ要求の頻繁な対象になっている。しかし、Microsoftは2021年、政府が検索令状に秘密命令を添付する傾向が強まっていることを警告し、ユーザーのデータが調査の対象となる時期をユーザーに通知しないようにしている。

関連記事:米政府による顧客データ要求の3分の1が秘密保持命令をともなう、マイクロソフト幹部が乱用に警鐘

Microsoftによると、法的命令の3分の1は秘密保持条項付きで、その多くは「意味のある法的分析や事実分析に裏づけられていない」と、同社の顧客セキュリティー・トラストの責任者Tom Burt(トム・バート)氏はいう。Microsoftは、秘密保持命令は技術産業全体に蔓延していると述べている。

5.FBIはサイバー攻撃の後処理の一環として、プライベートネットワークへのハッキングを許される

2021年4月にFBIは、この種の操作としては初めてハッカーが数週間前に放置した米国の数百に及ぶ企業のメールサーバーにあるバックドアの削除を開始した。MicrosoftのメールソフトウェアであるExchangeの脆弱性を大規模に悪用して、ハッカーが米国全域の何千ものメールサーバーを攻撃し、連絡先リストと受信箱を盗んだ。非難されているのは中国だ。その犯行により数千のサーバーが脆弱性を抱えたままであり、企業は緊急に欠陥を修復すべきだが、しかしパッチは残されたバックドアを削除しないので、ハッカーが戻ってきて容易にアクセスを取得できる。

関連記事:中国の国家ハッカーがExchange Serverの脆弱性をゼロデイ攻撃、マイクロソフトが警告

テキサス州の連邦裁判所が操作を許可し、FBIはハッカーが使ったのと同じ脆弱性を利用してバックドアを削除した。裁判所による操作許可の根拠は、今後の再犯への恐れだ。それにより、悪人たちによる今後の悪用を防いだ。同様の「ハックとパッチ」操作でボットネットを駆除した国は他にもあるが、サイバー攻撃の後でFBIがプライベートネットワークを効果的に掃除したのは、知られているかぎり、これが初めてだ。

6.詐欺師たちが自動車保険のサイトを襲って失業手当を詐取

2021年は複数の保険企業が、ありえないがますます普通になってきた詐欺のターゲットになった。Metromileによると、保険の見積もりを保存する同社のウェブサイトにバグがあり、運転免許証の番号が盗まれた。そして数カ月後には、Geicoもターゲットになり、同じく運転免許証の番号を盗み取られている。

関連記事
米自動車保険スタートアップMetromileがウェブサイトに侵入者が運転免許証番号を取得できるバグがあったと報告
米国2位の自動車保険大手Geicoが数カ月にわたりウェブサイトから運転免許証番号を盗まれていたと認める

Geicoのデータ侵犯報告は、盗んだ免許証番号を使って、ユーザーの名前で「失業手当を申請した」詐欺師たちを非難した。米国の多くの州では、州の失業手当を申請する前に運転免許証を必要となる。自動車保険会社ならその番号がわかるので、ターゲットにされたのだ。

画像クレジット:Getty Images

原文へ

(文:Zack Whittaker、翻訳:Hiroshi Iwatani)

正当なアプリを装う新たなAndroidスパイウェア「PhoneSpy」が韓国で発見される

セキュリティ研究者は、機密データを盗むため、韓国に住んでいる人のAndroid(アンドロイド)端末をターゲットにした新しいスパイウェアを発見した。

デバイス上の脆弱性を利用する他のスパイウェアとは異なり、「PhoneSpy(フォンスパイ)」として知られるこのスパイウェアは、テレビのストリーミングやヨガのレッスンなど正規のAndroidのライフスタイルアプリを装い、被害者のデバイス上に平然と潜入する。このスパイウェアは、ログイン情報、メッセージ、詳細な位置情報、画像などのデータを被害者の端末から密かに盗んでいる。また、PhoneSpyは、モバイルセキュリティアプリを含むあらゆるアプリをアンインストールすることもできる。

23のアプリ内にPhoneSpyを発見したモバイルセキュリティ会社Zimperium(ジンぺリウム)の研究者は、このスパイウェアは、被害者のカメラにアクセスしてリアルタイムで写真やビデオを撮影することも可能で、個人や企業への脅迫やスパイ活動に利用される可能性もあると警告している。このような行為は、被害者に気づかれることなく行われ、Zimperiumは、ウェブのトラフィックを監視していない限り、発見するのは難しいと指摘している。

正当に見えるアプリが、デバイス上で過剰な許可を要求するのは、一般的なレッドフラッグだ。ZimperiumのRichard Melick(リチャード・メリック)氏は、TechCrunchに次のように述べた。「一度許可が得られれば、アタッカーはコントロールを奪い、ユーザーメニューからアプリを隠し、舞台裏に留まって、断続的に追跡と窃盗を続けることができます」。

PhoneSpyは、Google Playに掲載されているのを知られておらず、どのAndroidのストアフロントでもサンプルが見つかっていない。Zimperiumによると、アタッカーはウェブトラフィックのリダイレクトやソーシャルエンジニアリング(ユーザーを操作して特定のアクションを実行させたり、機密データを引き渡たさせたりする攻撃手法)に基づく配布方法を使用しているとのことだ。

メリック氏は「PhoneSpyは、被害者の端末にダウンロードされる悪意のある偽のアプリを通じて配布されます。フィッシングサイトのように、エンドユーザーを騙して、ウェブサイトや直接リンクから正規のアプリと思われるものをダウンロードさせるWebトラフィックのリダイレクションやソーシャルエンジニアリングを通して配布されていることを示す証拠があります」。

Zimperiumによると、これまでに韓国で1000人以上の被害者を出しているPhoneSpyは、既知の、そして過去に使用されたスパイウェアやストーカーウェアのアプリと多くの類似点がある。「このことから、誰かが必要な機能をまとめて新しいスパイウェアを作ったのではないかと考えられます」とメリック氏は付け加えた。また、既製のコードを使用すると指紋が少なくなるため、アタッカーが自分の正体を隠しやすくなる。

Zimperiumによると、米韓の当局にこの超標的型スパイウェアを通知し、コマンド&コントロール(C&C)サーバーのホストを複数回報告したという。しかし、本稿執筆時点では、PhoneSpyのスパイウェアはまだ活動中だ。

2021年10月、TechCrunchは、何十万人もの人々のプライベートなデータを危険にさらしている重大なストーカーウェアを明らかにした

画像クレジット:Bryce Durbin / TechCrunch

原文へ

(文:Carly Page、翻訳:Yuta Kaminishi)

【コラム】今現在も「ストーカーウェア」の大流出で数千人の携帯電話データが危険に晒されている

何十万人もの人々の個人的な電話データが危険にさらされている。通話記録、テキストメッセージ、写真、閲覧履歴、正確な位置情報、通話録音など、広く使われている消費者向けスパイウェアにおけるセキュリティ上の問題から、人の電話からすべてのデータが引き出される可能性がある。

しかし、私たちが伝えることができるのはその程度のことなのだ。TechCrunchは、身元が明らかになっていない開発者に、判明しているメールアドレスと非公開のメールアドレスすべてを使って何度もメールを送ったが、この問題を明らかにするための糸口は見えなくなってしまった。メールが読まれたかどうかを確認するために、オープントラッカーを使ってメールを送ったが、これもうまくいかなかった。

この問題が解決されるまでは、何千人もの人々のセキュリティとプライバシーが危険にさらされていることになるため、我々はスパイウェアの開発者へ連絡を試みた。スパイウェアやその開発者の名前を出すと、悪意のある者が安全ではないデータにアクセスしやすくなるため、ここで名前を出すことはできない。

TechCrunchは、消費者向けのスパイウェアに関する広範な調査の一環として、このセキュリティ問題を発見した。これらのアプリは、子どもの追跡や監視のためのソフトウェアとして販売されていることが多いのだが、本人の同意なしに人を追跡したり監視したりすることから「ストーカーウェア」と呼ばれることもある。これらのスパイウェアアプリは、無言で継続的に人の携帯電話のコンテンツを吸い上げ、その運営者が人の居場所や通信相手を追跡できるようにしてしまう。これらのアプリは、発見されたり削除されたりしないように、ホーム画面から消えるように設計されているため、多くの人は自分の携帯電話が危険にさらされていることに気づかない。

関連記事:「システムアップデート」を装ったAndroidの新たなスパイウェアはデバイスを完全に制御する

電子フロンティア財団のサイバーセキュリティ担当ディレクターで、ストーカーウェア反対連合の立ち上げを主導したEva Galperin(エヴァ・ガルペリン)氏は、TechCrunchとの電話で「失望しましたが、少しも驚いていません。このような行為は、怠慢であると考えるのが妥当だと思います。悪用を可能にする製品を作っている企業があるだけでなく、流出した情報を保護するための対策があまりにも不十分なため、悪用された情報をさらに悪用する機会を与えてしまっているのです」と述べている。

TechCrunchは、開発者のスパイウェアのインフラににホスティングを提供しているウェブ企業のCodero(コデロ)にも連絡を取ったが、Coderoはコメント要請に応じなかった。Coderoはストーカーウェアのホスティングに精通している。このウェブホストは2019年にストーカーウェアメーカーの「Mobiispy」に対して、数千枚の写真や電話の記録を流出させていたことが発覚し「行動を起こした」という。

「あるストーカーウェア企業をホストしているウェブホストが、他のストーカーウェア企業をホストするのは当然だと思いますし、以前に反応を示さなかったのであれば、今回も反応を示さないのは当然でしょう」とガルペリン氏は述べている。

このように簡単に手に入るスパイウェアが蔓延していることから、業界全体でこれらのアプリを取り締まる取り組みが行われている。アンチウイルスメーカーは、ストーカーウェアを検出する能力の向上に努めており、また、Google(グーグル)は、スパイウェアメーカーに対して、配偶者の携帯電話を盗み見る方法として製品を宣伝することを禁止しているが、一部の開発者は、Googleの広告禁止を逃れるために新たな戦術を用いている。

関連記事:グーグルがスマホのスパイアプリを宣伝した「ストーカーウェア」広告を停止

モバイルスパイウェアは、セキュリティ上の問題として他人事ではない。ここ数年の間に「mSpy」「Mobistealth」「Flexispy」「Family Orbit」など、10社以上のストーカーウェアメーカーがハッキングされたり、データが流出したり、人々の携帯電話のデータを危険にさらしたりしたことが知られている。別のストーカーウェア「KidsGuard」では、セキュリティの不備により何千人もの人々の電話データが流出し、最近では、配偶者のデバイスをスパイできると宣伝している「pcTattleTale」が、推測されやすいウェブアドレスを使ってスクリーンショットを流出させていた。

連邦規制当局も注目し始めている。2021年9月、米連邦取引委員会は、2000人以上の電話データを流出させたストーカーウェアアプリ「SpyFone」の使用を禁止し、被害者に電話がハッキングされたことを通知するよう命じた。これは、当委員会がスパイウェアメーカーに対して行った2回目の措置で、1回目は、何度もハッキングされ、最終的に閉鎖に追い込まれたRetina-Xだ。

関連記事:米連邦取引委員会がスパイウェアSpyFoneを禁止措置に、ハッキングされた被害者に通知するよう命令

あなたやあなたの知り合いが助けを必要としている場合、日本の内閣府のDV相談+ (0120-279-889)は、家庭内の虐待や暴力の被害者に対して、24時間365日、無料で秘密厳守のサポートを提供しています。緊急事態の場合は、110に電話してください。

また、ストーカーウェア反対連合では、自分の携帯電話がスパイウェアに感染していると思われる場合に役立つ情報を提供しています。この記者の連絡先は、SignalおよびWhatsAppでは+1 646-755-8849、Eメールではzack.whittaker@techcrunch.com。

画像クレジット:Bryce Durbin / TechCrunch

原文へ

(文:Zack Whittaker、Akihito Mizukoshi)