ストーカーウェアの問題、そして解決策

ストーカーウェアが、標的となった人だけでなくセキュリティ企業にとっても問題である理由は。そして、その問題を解決するための取り組みとは。

ストーカーウェアは、公に流通している市販のソフトウェアです。「合法的なスパイウェア」とも言えるストーカーウェアをデバイスにインストールすると、そのデバイスの持ち主の行動をこっそり探ることができるようになります。これは、標的となった人だけでなく、セキュリティの企業にとっても大きな問題です(英語レポート)。

人道面でも、ストーカーウェアには大いに問題があります。何よりもまず、これは一種のテクノロジーの悪用であり、倫理にかなっているとは言えません。さらに、標的となった人だけでなく、悪用する人にとっても大きなセキュリティリスクをもたらします。また、被害者のデータを漏洩させ、デバイスの保護を損ない、さまざまな種類の悪意あるソフトウェアへの侵入口となる可能性があります。

ストーカーウェアは、セキュリティ企業にとってなぜ問題なのか

この問題は、一見すると簡単に解決できそうです。ストーカーウェアが良くないものなのであれば、サイバーセキュリティ企業はストーカーウェアを悪意のあるものと見なし、見つけ次第除去すれば良いのです。しかし残念ながら、話はそれほど単純ではありません。ストーカーウェアは、少なくとも一部の国では合法であり、多くの国ではグレーゾーンに分類されています。したがって、合法の程度を定量化するには、法律を詳しく調べる必要があります。また、合法的に配信されているソフトウェアを、セキュリティ製品が「悪意あるソフトウェア」と判定することは違法でもあります。

それだけではありません。ストーカーウェアをデバイスから削除すると、これを仕込んだ人(つまり、悪用する人)はすぐに気づきます。その結果、ちょっとしたいさかい程度で済めばまだいい方ですが、身体的な暴力にまで発展するかもしれません。大げさに聞こえるかもしれませんが、家庭内暴力の被害者を支援する非営利団体は、このような事例をいくつも目にしています。

また、さまざまなサイバーセキュリティ企業が、ストーカーウェアをマルウェアとは別物と見なしているという側面もあります。そのため、ストーカーウェアを検知する製品もあれば、無害と判断する製品もある、という状況です。

現時点では、すべてのストーカーウェアを悪意あるものと判断して自動的に削除することはできません。それでも、ストーカーウェアの存在について知らせることは絶対に必要です。セキュリティ企業のほとんどは、このようなソフトウェアを今でも「not-a-virus」(ウイルスではないもの)またはそれに相当するものと判定しますが、これは誤解を生みかねません。「not-a-virus」と分類されたソフトウェアは特に問題ないものと捉えられる可能性があり、ストーカーウェアに関しては「問題なし」とはいきません。

当社は約半年前、解決策にたどりつきました。利用者の行動を監視したり盗聴したりするソフトウェアを当社製品が検知したとき、プライバシーに関する警告を表示するようにしたのです。このほか、ストーカーウェア検知機能も大きく強化しました。しかし、これで十分ではありません。ストーカーウェアとはどのようなものか、自分のデバイスにストーカーウェアを発見したらどうすべきか、どこに連絡して誰と話をすればいいのかなどを知ってもらう必要があります。

ストーカーウェア対策の取り組み「Coalition Against Stalkerware」

私たちは、ITセキュリティ業界は一致団結してストーカーウェアから人々を守り、日々発生する家庭内暴力の被害者を直接支援している非営利団体の経験と知識を取り入れる必要があると確信しています。その信念のもと、KasperskyはAvira、電子フロンティア財団(Electronic Frontier Foundation:EFF)、European Network for the Work with Perpetrators of Domestic Violence、G DATA CyberDefense、Malwarebytes、National Network to End Domestic Violence、NortonLifeLock、Operation Safe Escape、WEISSER RINGと共に「Coalition Against Stalkerware」を立ち上げました。

この取り組みは、ストーカーウェアの検知を強化し被害軽減を向上させること、被害者および支持団体へ技術面の啓発を行うこと、関連する問題についての認知を向上させることを主な目標としています。

Coalition Against Stalkerwareの発足に当たり、参加企業および団体は、ストーカーウェアの定義付けを行い、検知に関する標準的な基準の策定を進めてきました。また、同取り組みのポータルサイト(www.stopstalkerware.org。英語サイト)では、自分のデバイスにストーカーウェアがインストールされているかどうかを確認する方法や対処のヒントを紹介し、家庭内暴力被害の防止または軽減を支援する団体の連絡先を掲載しています。

この取り組みへは、ITセキュリティ企業、支援団体、法執行機関などから、さらに多くの参画がいただけるであろうと私たちは考えています。これによってストーカーウェアに対する認知と検知の統一化が業界全体で促進され、これまでにストーカーウェアに遭遇したことのない人も含めた社会全体の意識が高まり、ストーカーウェアの被害者を救済するための取り組みがより一層強化されるものと、私たちは信じています。

また、ストーカーウェアの公的な法律上の地位を変え、ゆくゆくは他人に対する同意なき偵察行為を違法とすることができればと願っています。

ヒント