Facebookが訴訟相手のNSO Groupのスパイウェアを自分が使おうとしていた可能性

Facebookの子会社であるWhatsAppは、イスラエルのモバイルスパイウェアメーカーのNSO Groupに対する訴訟の真っ最中だ。しかし、NSOの創業者であるShalev Hulio(シャレフ・フリオ)氏の証言によれば、FacebookはNSOのやり方に文句を付ける前に、自分自身の目的のために彼らのソフトを使用したいと考えていたようだ。

昨年WhatsAppを使用するデバイスに、NSOのスパイウェアパッケージであるPegasusがインストールされる危険性があったことがニュースとして流された。これを受けてWhatsAppはNSOを訴え、100人以上の人権活動家、ジャーナリストなどがこの方法を使って標的にされたと発表した。

関連記事:WhatsApp blames — and sues — mobile spyware maker NSO Group over its zero-day calling exploit(WhatsAppはゼロデイコールの悪用についてモバイルスパイウェアメーカーNSO Groupを非難し訴えた、未訳)

一方フリオ氏によれば、Facebookは、ユーザーのあらゆるデータを収集するためのバックドアを仕込むために、2013年に買収したVPNアプリのOnavoを昨年ついにシャットダウンした。それほど内容を気に入らなかったからというのが理由だ。そして米国時間4月4日に裁判所に提出された文書でフリオ氏は、2017年にFacebookがNSO Groupに対して、通常のやり方よりも効果的なiOSデバイス上でのデータ収集を支援するよう要請してきたと述べている。

2017年10月にNSOは、原告の訴状で議論されているものと同じ、NSOのソフトウェアであるPegasusの、特定の機能を使用する権利を購入したいとする、2人のFacebookの担当者から接触を受けた。

Facebookの担当者は、FacebookがOnavo Protectを介してユーザーデータを収集している手段は、Apple(アップル)デバイス上ではAndroidデバイス上よりも効果が薄いことを懸念していると述べた。Facebookの担当者たちはまた、FacebookはPegasusの機能を利用してアップルデバイス上のユーザーをモニターすることを望んでおり、Onavo Protectユーザーをモニターする機能にお金を払う用意があると述べた。FacebookはNSOに、Onavo Protectユーザー1人ごとに月額料金を支払うことを提案したのだ。

NSOは、そのソフトウェアを法執行目的でのみ政府に提供すると主張しているため、その提案を拒否した。しかし、Facebookが後にユーザーに対して使われたことを非難することになった、まさに同じソフトを、当のFacebookがかつて採用しようと考えていたというのは一種の皮肉だ。(WhatsAppは、親会社のFacebookからのある程度の独立性を維持しているが、これらの一連の出来事は、買収とFacebookへの組織統合の直後に行われた)。

Facebookの代表者は、同社の担当者が当時NSOグループに接触したことに異論はないが、この証言は「事実から目をそらすための試み」であり、「彼らのスパイウェアとFacebookで働く人びととの話し合いの両方についての、不正確な表現が含まれている」と述べている。おそらく、近いうちにFacebook自身が提出する書類の中で、全面的な反論をみることになるだろう。

FacebookとWhatsApp は、NSO Groupが開発・販売しているような効果的な秘密の侵入方法が、間違った者の手に入れば危険であることを懸念している。これは極めて正しい懸念で、活動家やジャーナリスト、さらにはジェフ・ベゾスまでもが標的にされていることからも明らかだ。しかし、Facebookの懸念がどれほど合理的であったとしても、世界で最も悪名高い個人情報の収集家であり、行商人でもあるFacebookの立場は、その正当な姿勢を真剣に受け止めて貰えることを困難にしている。

画像クレジット:Bryce Durbin/TechCrunch

原文へ

(翻訳:sako)

ストーカーウェア「KidsGuard」を端末から駆除する方法

KidsGuardという強力なモバイルスパイウェアが蔓延しつつある。このアプリは何千というAndroid端末に所有者の許可なくインストールされ、感染した被害者の端末からデータを吸い上げてインターネットで暴露する。

この消費者グレードのスパイウェアは「ストーカーウェア」でもある。本来親が子供を監視するために使われるが、同意も認識もないまま配偶者を監視するためにも流用されている。こうしたスパイアプリはApple(アップル)やGoogle(グーグル)のアプリストアで禁止されているのだが、いくら禁止されてもプライバシー侵害アプリの蔓延が収まる気配はない。被害者のメッセージを読み、通話を盗聴し、リアルタイム位置情報を追跡し、連絡先や写真、ビデオなど端末のあらゆるものを盗み出す。

スパイウェアは、プライバシー専門家やセキュリティー研究者、立法府からも厳しく批判されており、アンチウィルスメーカーはスパイウェアの検出方法の改善を約束している。

TechCrunchは問題のアプリであるKidsGuradを入手した。プリペイドのAndroid端末を使い、マイクロホンとカメラを塞ぎ、このスパイウェアの機能をテストした。さらにオンラインマルウェア検査サービスのVirus Totalにアプリをアップロードした。同サイトはアップロードされたファイルを数十カ所のアンチウィルスメーカーでテストする。このアプリを悪意があると判定したアンチウィルスエンジンは、ストーカーウェア対策団体であるCoalition Against StalkerwareのメンバーであるKaspersky、およびF-Secureなど8種だけだった。

F-Secureの戦術的防御ユニットの研究員であるYoong Jien Chiam(ユン・ジェン・チアム)氏は、分析した結果このアプリが「GPS位置情報、アカウント名、スクリーンショット、キー入力を入手可能であり、写真、ビデオ、ブラウザー履歴もアクセスしていた」と報告している。

KidsGuardを開発したClevGuard(クレブガード)は、このスパイウェアを簡単にはインストールできないように作っている。しかし、以下に示す手順に従えばあなたの端末のスパイウェアを見つけて駆除することができる。

まず、Androidはバージョンによってメニュー項目が多少異なっているので、以下に示す手順は自己責任で行ってほしい。この手順はスパイウェアを削除するだけであり、スパイウェアがクラウドにアップロードしたデータを削除することはできない。

KidsGuardの見つけ方

Android端末を使っている人は、「設定」アプリを起動して下にスクロールして「System Update Service」(システムアップデート)があるかどうか調べる。これが、ClevGuardがスパイウェアを偽装するための仕組みだ。これが見つかったら感染している可能性が高い。

まず「デバイスマネージャー」でスパイウェアを削除する

「設定」アプリ→「セキュリティー」→「デバイスマネージャー」→「System Update Service」を選び「Deactivate」をタップする。

アプリの「利用状況アクセス」を削除

再び、「設定」アプリ→「セキュリティ」に移動し、利用状況をアクセスするアプリまでスクロール。「System Update Service」をタップして許可のボタンをオフにする。

アプリの「通知のアクセス」も削除

設定」アプリ→「サウンドと通知」に移動し、「通知アクセス」に進む。ここでも「System Update Service」の設定をオフにする。

スパイウェアのアンインストール完了

以上の手順を踏めば、スパイウェアの機能は実質的に無効化される。これでインストールできるようになった。「設定」アプリ→「アプリ」→「System Update Service」へ移動してアンインストールをタップできるが、その前に「Force Stop」(強制終了)を押す必要があるかもしれない。「OK」をタップしてアプリをインストールする。これには数分かかることがある。

再び端末を安全な設定に

これでスパイウェアを追い出したが、端末が最初に感染したときにオフにされた設定をいくつか再度有効にする必要がある。「設定」アプリ→「セキュリティ」へ移動し、「Unknown Sources」のスイッチをオフにする。次に「Play Store」アプリ→「Playプロテクト」に移動。オプションがあれば「Turn On」を選ぶ。オンになったら、問題がないかどうか全体をチェックしよう。

画像クレジット: Bryce Durbin/TechCrunch

[原文へ]

(翻訳:Nob Takahashi / facebook

すべてを監視するストーカーウェア「KidsGuard」から個人データが大量に漏洩

スパイウェアは、被害者のスマートフォンの「すべてを監視する」ために作られ、知らない間に無数にインストールされている。

KidsGuard(キッズガード)というアプリは、指定したデバイスの現在位置、テキストメッセージ、ブラウザーの履歴、そのデバイス、動画、アプリの利用状況、通話内容の録音など「あらゆる情報にアクセスできる」とうたっている。だが、サーバーの設定に誤りがあり、被害者がインストールしたこのアプリからサーバーに送られた個人データがインターネット上に漏れ出してしまった。

近年、このような消費者向けのスパイウェア(いわゆる「ストーカーウェア」)が、一般にこっそりと相手の同意なく行われる監視行為の容認や状態化を招いていないかが調査されるようになってきた。ストーカーウェアの多くは、親が子どもの行動を監視するためのアプリとして販売されているのだが、配偶者をスパイするという別の目的に使われることも多い。それがきっかけとなり、プライバシー擁護団体やセキュリティー企業が、ストーカーウェアの特定を容易にするための協力を始めている。

KidsGuardもその対象だ。これを開発したClevGuard(クレブガード)は、そのストーカーウェアは子どもの安全を守るために「見えないかたち」で機能すると宣伝しているが、「配偶者の浮気の暴露や従業員の監視」にも使える。

だが今回のようなセキュリティーの不備が、ストーカーウェアがどれほど蔓延し私たちの生活に浸透する恐れがあるかを示唆する貴重な機会にもなっている。

KidsGuardスパイウェアのメーカーClevGuardのウェブサイト

TechCrunchでは、さまざまなアプリを解析して仕組みを調べているソフトウェア開発者のTill Kottmann(ティル・コットマン)氏からAndroid版アプリのコピーを入手した。

コットマン氏は、このアプリが被害者のスマートフォンのデータをこっそり抽出してアリババのクラウドストレージのバケットに保管していることを突き止めた。そのバケットには、Androidデバイスからのデータのみを保管することを示す名称が付けられている。だがこのバケットが、うっかり共有に設定されてしまったようなのだ。よくあるミスだ。その原因の多くがヒューマンエラーだ。パスワードの設定すらなかった。

TechCrunchは、マイクとカメラをふさいだオトリのAndroidデバイスをってKidsGuardをインストールし、このデバイスに出入りするデータの種類をネットワークトラフィック解析ツールで調べてみたところ、コットマン氏の説が実証された。

アプリはClevGuardのサイトで直接購入しダウンロードする必要があるが、インストールは2分ほどで終わる。なお、ClevGuardではiPhoneでも使えると「主張」している。そのためにはiCloudバックアップの内容にアクセスするためのiCloudクレデンシャルを要求しなければならないのだが、この行為はApple(アップル)の規約に反する。

アプリは、被害者のスマートフォンを直接触れる人がインストールしなければならないのだが、ルーティングや脱獄をする必要はない。このAndroid版アプリはまた、スマートフォン本体に備わる一部のセキュリティー機能を無効にする必要がある。Google認証済み以外のアプリのインストールを可能にし、Google Play Protectを無効にするなどだ。これらは、悪意あるアプリが作動してしまわないようにするオプションだ。

インストールが完了すると、このアプリは「ステルス」モードで作動し、被害者には気付かれないとClevGuardから伝えられる。このアプリ自体が、Androidの「システムアップデート」アプリを装うからだ。正規のシステムサービスとほとんど見分けがつかない。アプリのアイコンもないため、被害者は自分のスマートフォンに手が加えられたことにも、なかなか気付けない。

KidsGuardはAndroidのアプリであるかのように装う

我々が入手したのはこのAndroidアプリだけで、有料サービスの登録もしていないため、テストできる範囲には制限があった。今回のテストを通してTechCrunchが発見したのは、このアプリは被害者のスマートフォンから、静かに、ほぼ継続的に、データを抜き取るということだ。写真や動画のアプリに保存されているものや通話の録音データなども抽出される。

さらにこのアプリをインストールしたすべての人は、被害者がWhatsApp、Instagram、Viber、Facebook Messengerなどのさまざまなアプリを使っていつ誰と話したかを知ることができる。また、Tinderなどの出会い系アプリでの被害者の活動を監視できる機能もある。SnapchatやSignalなどのアプリではスクリーンショットが秘密裏に撮影されるため、被害者がメッセージを消去しても、その会話の内容を見ることができる。

このストーカーウェアは、デバイスの正確な位置を記録しモニターするほか、ブラウザーの履歴にもアクセスできる。被害者の連絡先にもアクセスできるとメーカーは言っているが、抽出されてバケットに保管されたデータには連絡先リストや、被害者を簡単に特定できるようなものは含まれていなかった。そのため、TechCrunchから被害者に一括通知することが難しかった。

しかし、我々が話を聞いたひとりの被害者は、このストーカーウェアが自分のスマートフォンにインストールされていることを、つい数日前に知ったという。

「夫でした」と被害者の女性は言った。2人は別居しているが、夫は彼女のスマートフォンにストーカーウェアをインストールして、プライベートなメッセージへのアクセスを可能にしていたとのこと。「どうやったかを見せるか離婚するかのどちらかを選べと迫りました。すると夫は、昨夜になって私に見せました」と彼女は話してくれた。

ClevGuardは、我々が連絡をした後に、露出していたクラウドストレージのバケットを閉鎖した。アリババにもコンタクトを取ったところ、同社からもClevGuardに露出の警告が出された。

「これは、スパウズウェアやストーカーウェアのメーカーがモラル的に破綻している証拠です。彼らは、入手した顧客データを保護しきれずに、何度も盗まれています」と、やはりこのアプリを調査している電子フロンティア財団の主任技師であるCooper Quintin(クーパー・クインティン)氏は話している。

「小さな子供のデータも含まれていることは、大変に憂慮すべきで胸が悪くなります」とクインティン氏。「この小さなメーカーが、世界中で3000件ほど感染を引き起こしています。スパウズウェアやストーカーウェアの業界の影響力の強さを物語っています」。

これは、ストーカーウェアのメーカーによるデータ漏洩やシステム露出事件の長い流れの中の、最新の出来事に過ぎない。Viceの技術系ニュースサイトMotherboardは、mSpyMobistealthFlexispyなどを含む多くの事件を報道してきた。米連邦取引委員会も、被害者の知られたくない個人情報を含む2件のデータ漏洩事件を起こしたスパイウェアのメーカーのRetina-Xに対して法的措置に出た。

KidsGaurdがインストールされたかもしれないと心配な読者のために、その確認と削除の方法を示しておく

関連記事:ストーカーウェア「KidsGuard」を端末から駆除する方法

画像クレジット:Bryce Durbin/TechCrunch

[原文へ]

(翻訳:金井哲夫)