スパイウェアは、被害者のスマートフォンの「すべてを監視する」ために作られ、知らない間に無数にインストールされている。
KidsGuard(キッズガード)というアプリは、指定したデバイスの現在位置、テキストメッセージ、ブラウザーの履歴、そのデバイス、動画、アプリの利用状況、通話内容の録音など「あらゆる情報にアクセスできる」とうたっている。だが、サーバーの設定に誤りがあり、被害者がインストールしたこのアプリからサーバーに送られた個人データがインターネット上に漏れ出してしまった。
近年、このような消費者向けのスパイウェア(いわゆる「ストーカーウェア」)が、一般にこっそりと相手の同意なく行われる監視行為の容認や状態化を招いていないかが調査されるようになってきた。ストーカーウェアの多くは、親が子どもの行動を監視するためのアプリとして販売されているのだが、配偶者をスパイするという別の目的に使われることも多い。それがきっかけとなり、プライバシー擁護団体やセキュリティー企業が、ストーカーウェアの特定を容易にするための協力を始めている。
KidsGuardもその対象だ。これを開発したClevGuard(クレブガード)は、そのストーカーウェアは子どもの安全を守るために「見えないかたち」で機能すると宣伝しているが、「配偶者の浮気の暴露や従業員の監視」にも使える。
だが今回のようなセキュリティーの不備が、ストーカーウェアがどれほど蔓延し私たちの生活に浸透する恐れがあるかを示唆する貴重な機会にもなっている。
TechCrunchでは、さまざまなアプリを解析して仕組みを調べているソフトウェア開発者のTill Kottmann(ティル・コットマン)氏からAndroid版アプリのコピーを入手した。
コットマン氏は、このアプリが被害者のスマートフォンのデータをこっそり抽出してアリババのクラウドストレージのバケットに保管していることを突き止めた。そのバケットには、Androidデバイスからのデータのみを保管することを示す名称が付けられている。だがこのバケットが、うっかり共有に設定されてしまったようなのだ。よくあるミスだ。その原因の多くがヒューマンエラーだ。パスワードの設定すらなかった。
TechCrunchは、マイクとカメラをふさいだオトリのAndroidデバイスをってKidsGuardをインストールし、このデバイスに出入りするデータの種類をネットワークトラフィック解析ツールで調べてみたところ、コットマン氏の説が実証された。
アプリはClevGuardのサイトで直接購入しダウンロードする必要があるが、インストールは2分ほどで終わる。なお、ClevGuardではiPhoneでも使えると「主張」している。そのためにはiCloudバックアップの内容にアクセスするためのiCloudクレデンシャルを要求しなければならないのだが、この行為はApple(アップル)の規約に反する。
アプリは、被害者のスマートフォンを直接触れる人がインストールしなければならないのだが、ルーティングや脱獄をする必要はない。このAndroid版アプリはまた、スマートフォン本体に備わる一部のセキュリティー機能を無効にする必要がある。Google認証済み以外のアプリのインストールを可能にし、Google Play Protectを無効にするなどだ。これらは、悪意あるアプリが作動してしまわないようにするオプションだ。
インストールが完了すると、このアプリは「ステルス」モードで作動し、被害者には気付かれないとClevGuardから伝えられる。このアプリ自体が、Androidの「システムアップデート」アプリを装うからだ。正規のシステムサービスとほとんど見分けがつかない。アプリのアイコンもないため、被害者は自分のスマートフォンに手が加えられたことにも、なかなか気付けない。
我々が入手したのはこのAndroidアプリだけで、有料サービスの登録もしていないため、テストできる範囲には制限があった。今回のテストを通してTechCrunchが発見したのは、このアプリは被害者のスマートフォンから、静かに、ほぼ継続的に、データを抜き取るということだ。写真や動画のアプリに保存されているものや通話の録音データなども抽出される。
さらにこのアプリをインストールしたすべての人は、被害者がWhatsApp、Instagram、Viber、Facebook Messengerなどのさまざまなアプリを使っていつ誰と話したかを知ることができる。また、Tinderなどの出会い系アプリでの被害者の活動を監視できる機能もある。SnapchatやSignalなどのアプリではスクリーンショットが秘密裏に撮影されるため、被害者がメッセージを消去しても、その会話の内容を見ることができる。
このストーカーウェアは、デバイスの正確な位置を記録しモニターするほか、ブラウザーの履歴にもアクセスできる。被害者の連絡先にもアクセスできるとメーカーは言っているが、抽出されてバケットに保管されたデータには連絡先リストや、被害者を簡単に特定できるようなものは含まれていなかった。そのため、TechCrunchから被害者に一括通知することが難しかった。
しかし、我々が話を聞いたひとりの被害者は、このストーカーウェアが自分のスマートフォンにインストールされていることを、つい数日前に知ったという。
「夫でした」と被害者の女性は言った。2人は別居しているが、夫は彼女のスマートフォンにストーカーウェアをインストールして、プライベートなメッセージへのアクセスを可能にしていたとのこと。「どうやったかを見せるか離婚するかのどちらかを選べと迫りました。すると夫は、昨夜になって私に見せました」と彼女は話してくれた。
ClevGuardは、我々が連絡をした後に、露出していたクラウドストレージのバケットを閉鎖した。アリババにもコンタクトを取ったところ、同社からもClevGuardに露出の警告が出された。
「これは、スパウズウェアやストーカーウェアのメーカーがモラル的に破綻している証拠です。彼らは、入手した顧客データを保護しきれずに、何度も盗まれています」と、やはりこのアプリを調査している電子フロンティア財団の主任技師であるCooper Quintin(クーパー・クインティン)氏は話している。
「小さな子供のデータも含まれていることは、大変に憂慮すべきで胸が悪くなります」とクインティン氏。「この小さなメーカーが、世界中で3000件ほど感染を引き起こしています。スパウズウェアやストーカーウェアの業界の影響力の強さを物語っています」。
これは、ストーカーウェアのメーカーによるデータ漏洩やシステム露出事件の長い流れの中の、最新の出来事に過ぎない。Viceの技術系ニュースサイトMotherboardは、mSpy、Mobistealth、Flexispyなどを含む多くの事件を報道してきた。米連邦取引委員会も、被害者の知られたくない個人情報を含む2件のデータ漏洩事件を起こしたスパイウェアのメーカーのRetina-Xに対して法的措置に出た。
KidsGaurdがインストールされたかもしれないと心配な読者のために、その確認と削除の方法を示しておく。
関連記事:ストーカーウェア「KidsGuard」を端末から駆除する方法
画像クレジット:Bryce Durbin/TechCrunch
[原文へ]
(翻訳:金井哲夫)