何十万人もの人々の個人的な電話データが危険にさらされている。通話記録、テキストメッセージ、写真、閲覧履歴、正確な位置情報、通話録音など、広く使われている消費者向けスパイウェアにおけるセキュリティ上の問題から、人の電話からすべてのデータが引き出される可能性がある。
しかし、私たちが伝えることができるのはその程度のことなのだ。TechCrunchは、身元が明らかになっていない開発者に、判明しているメールアドレスと非公開のメールアドレスすべてを使って何度もメールを送ったが、この問題を明らかにするための糸口は見えなくなってしまった。メールが読まれたかどうかを確認するために、オープントラッカーを使ってメールを送ったが、これもうまくいかなかった。
この問題が解決されるまでは、何千人もの人々のセキュリティとプライバシーが危険にさらされていることになるため、我々はスパイウェアの開発者へ連絡を試みた。スパイウェアやその開発者の名前を出すと、悪意のある者が安全ではないデータにアクセスしやすくなるため、ここで名前を出すことはできない。
TechCrunchは、消費者向けのスパイウェアに関する広範な調査の一環として、このセキュリティ問題を発見した。これらのアプリは、子どもの追跡や監視のためのソフトウェアとして販売されていることが多いのだが、本人の同意なしに人を追跡したり監視したりすることから「ストーカーウェア」と呼ばれることもある。これらのスパイウェアアプリは、無言で継続的に人の携帯電話のコンテンツを吸い上げ、その運営者が人の居場所や通信相手を追跡できるようにしてしまう。これらのアプリは、発見されたり削除されたりしないように、ホーム画面から消えるように設計されているため、多くの人は自分の携帯電話が危険にさらされていることに気づかない。
関連記事:「システムアップデート」を装ったAndroidの新たなスパイウェアはデバイスを完全に制御する
電子フロンティア財団のサイバーセキュリティ担当ディレクターで、ストーカーウェア反対連合の立ち上げを主導したEva Galperin(エヴァ・ガルペリン)氏は、TechCrunchとの電話で「失望しましたが、少しも驚いていません。このような行為は、怠慢であると考えるのが妥当だと思います。悪用を可能にする製品を作っている企業があるだけでなく、流出した情報を保護するための対策があまりにも不十分なため、悪用された情報をさらに悪用する機会を与えてしまっているのです」と述べている。
TechCrunchは、開発者のスパイウェアのインフラににホスティングを提供しているウェブ企業のCodero(コデロ)にも連絡を取ったが、Coderoはコメント要請に応じなかった。Coderoはストーカーウェアのホスティングに精通している。このウェブホストは2019年にストーカーウェアメーカーの「Mobiispy」に対して、数千枚の写真や電話の記録を流出させていたことが発覚し「行動を起こした」という。
「あるストーカーウェア企業をホストしているウェブホストが、他のストーカーウェア企業をホストするのは当然だと思いますし、以前に反応を示さなかったのであれば、今回も反応を示さないのは当然でしょう」とガルペリン氏は述べている。
このように簡単に手に入るスパイウェアが蔓延していることから、業界全体でこれらのアプリを取り締まる取り組みが行われている。アンチウイルスメーカーは、ストーカーウェアを検出する能力の向上に努めており、また、Google(グーグル)は、スパイウェアメーカーに対して、配偶者の携帯電話を盗み見る方法として製品を宣伝することを禁止しているが、一部の開発者は、Googleの広告禁止を逃れるために新たな戦術を用いている。
関連記事:グーグルがスマホのスパイアプリを宣伝した「ストーカーウェア」広告を停止
モバイルスパイウェアは、セキュリティ上の問題として他人事ではない。ここ数年の間に「mSpy」「Mobistealth」「Flexispy」「Family Orbit」など、10社以上のストーカーウェアメーカーがハッキングされたり、データが流出したり、人々の携帯電話のデータを危険にさらしたりしたことが知られている。別のストーカーウェア「KidsGuard」では、セキュリティの不備により何千人もの人々の電話データが流出し、最近では、配偶者のデバイスをスパイできると宣伝している「pcTattleTale」が、推測されやすいウェブアドレスを使ってスクリーンショットを流出させていた。
連邦規制当局も注目し始めている。2021年9月、米連邦取引委員会は、2000人以上の電話データを流出させたストーカーウェアアプリ「SpyFone」の使用を禁止し、被害者に電話がハッキングされたことを通知するよう命じた。これは、当委員会がスパイウェアメーカーに対して行った2回目の措置で、1回目は、何度もハッキングされ、最終的に閉鎖に追い込まれたRetina-Xだ。
関連記事:米連邦取引委員会がスパイウェアSpyFoneを禁止措置に、ハッキングされた被害者に通知するよう命令
あなたやあなたの知り合いが助けを必要としている場合、日本の内閣府のDV相談+ (0120-279-889)は、家庭内の虐待や暴力の被害者に対して、24時間365日、無料で秘密厳守のサポートを提供しています。緊急事態の場合は、110に電話してください。
また、ストーカーウェア反対連合では、自分の携帯電話がスパイウェアに感染していると思われる場合に役立つ情報を提供しています。この記者の連絡先は、SignalおよびWhatsAppでは+1 646-755-8849、Eメールではzack.whittaker@techcrunch.com。
画像クレジット:Bryce Durbin / TechCrunch
[原文へ]
(文:Zack Whittaker、Akihito Mizukoshi)