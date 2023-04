ESET社の調査によると、Androidの監視アプリである「ストーカーウェア」で脆弱性が多数見つかり、同種のアプリの被害者がより危険にさらされていると同時に、監視者自身のプライバシーやセキュリティも侵害される可能性が指摘された。

この記事は、ESET社が運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。

モバイル機器の「ストーカーウェア」あるいは「スパイウェア」は、被害者が気付かないうちに勝手にインストールされる監視アプリである。一般的に、Google Playストア外のアプリを導入する「サイドローディング」という手法が使われるが、監視者は被害者のデバイスへ物理的に接触する必要がある。そのため、被害者の家族や近しい同僚や知人が監視者になることが多い。

筆者が解析したESET社のテレメトリ(監視チームのデータ)によると、ストーカーウェアは、ここ数年で急増している。2019年には2018年に比べて約5倍のAndroidストーカーウェアを検出し、また、2020年には2019年に比べて48%も増加した。ストーカーウェアは、被害者のデバイスから位置情報や会話、画像、Webブラウザーの閲覧履歴などを追跡できる。また、これらのデータは保存・転送される場合もある。

そこで、これらのアプリがどのようにデータを保護しているかを分析することとした。

ストーカーウェアの開発者は、ストーカーウェアとして検知されないよう、多くの場合は子供や従業員、女性を保護することを謳ったアプリに偽装している。しかし、実際には開発者のWebサイトでは「スパイ」という文言が何度も使われている。そのため、これらのツールをオンライン上で見つけることは難しくない。闇サイトを探す必要もない。以下のスクリーンショットは、安全のために女性を見守るアプリを偽装するストーカーウェアの中で、最も疑わしい例と言えるだろう(スパイアプリと自らを語っている)。

ストーカーウェアは、明らかに倫理的に問題のある動作をとっている。モバイル向けセキュリティソリューションの多くは、これらのアプリを望ましくない、あるいは危険なものと判断している。実際に、被害者が使っている他のアプリに比べて、ストーカーウェアは、より多くの情報を収集し、保存・転送している。そこで、特に機密性の高いデータがどのように保護されているのかを詳しく調査した。

まず、複数の開発者がAndroidプラットフォーム上で公開している86個のストーカーウェアを手作業で分析した。一人のメンバーがストーカー(監視者)役となり、ストーカーウェアを遠隔で監視・制御する。もう一人が被害者役となり、ストーカーウェアを介して監視される標的となる。そして、ストーカーも被害者も普段は意識することのない第三者となる攻撃者の役割も設定した。この攻撃者役は、ストーカーウェアのセキュリティやプライバシー上の問題、あるいは関連した監視行動を悪用する攻撃を仕掛けた。

この分析により、セキュリティやプライバシーに関する深刻な問題が多数見つかった。被害者のデバイスを乗っ取る、ストーカーのアカウントを乗っ取る、被害者のデータを盗聴する、偽の情報を拡散して被害者を陥れる、被害者のスマートフォンでリモートコードを実行する、といった操作が可能だったのだ。58個のAndroidストーカーウェアから、セキュリティやプライバシーに関する158個の問題が発見された。これらは被害者に深刻な影響を与えるだけでなく、ストーカーやアプリの開発者さえリスクにさらすものだった。

ESET社が策定している90日間の脆弱性公開ポリシーに従い、開発会社にこれらの問題を繰り返し報告した。残念なことに、報告した問題を修正したのは、わずか6社のみであった。44社からは回答をもらえず、7社は次回の更新で問題を修正すると回答を受けたものの、本記事執筆の時点ではアップデートを確認できていない。また、1社からは報告した問題を修正しないと決定したとの回答を受けている。

下図は、58個のストーカーウェアから見つかった158個のセキュリティとプライバシーの問題を、報告された数の多い順に並べたものだ。

今回の調査は、これからストーカーウェアを使うかもしれないユーザーへの警告であり、配偶者や家族を見守るのにストーカーウェアを使うことに対して再考を促すものだ。同アプリは、非倫理的であるだけではなく、家族のプライベートな情報が公開され、サイバー攻撃や詐欺に遭うリスクを高めてしまう。監視者と被害者は親密な関係にあるため、結果的に監視者の個人情報も流出してしまう可能性もあるだろう。

本調査を通して、一部のストーカーウェアでは、監視者が削除を依頼した後も、アプリを使用する監視者の情報を収集し、被害者のデータをサーバーに転送している事実を確認している。

以上、調査結果の一部を紹介したが、この報告書全体に目を通してほしい。

