「違法ではない」市販スパイウェアの問題点

市販されているスパイアプリ(ストーカーウェア)は、言葉の厳密な意味においてはマルウェアではありませんが、いずれにしても使用しないのが得策です。

誰でも一度くらいは、他人の生活をのぞき見たいと思ったことがあるのではないでしょうか。パートナーが浮気していないか、子どもが悪い連中と付き合っていないか、従業員がライバル会社から引き抜きの誘いを受けていないか…。同僚や家族をこっそり監視するためのテクノロジーが欲しい人は大勢いて、その需要に対しては世界中で供給があります。

世の中には、実に広範囲にわたる「合法な」スパイウェアアプリが存在しています。英語では「Stalkerware(ストーカーウェア)」、「Spouseware(スパウズウェア)」という言い方もあります。ここでは、ストーカーのような働きをすることから「ストーカーウェア」の呼称を使用します。このようなアプリは比較的低額で購入でき、従業員や家族のデバイスにインストールすることが可能です。スパイウェアアプリはデバイス内に身を潜め、デバイスの位置、ブラウザーの履歴、SMSのメッセージ、ソーシャルメディアのチャットなどに関する情報を購入者に知らせます。動画の撮影や音声の録音が可能なものもあります。

ストーカーウェア ― 倫理的とは言えないが(ほぼ)合法

道徳的な観点から言えば、ストーカーウェアの使用は良いことではありません。デバイスの持ち主に知らせることも同意を得ることもなくインストールされ、バックグラウンドで動作し、非常にプライベートな情報にアクセスするのです。それでも、ストーカーウェアを違法としていない国は多く、家族へのスパイ行為が告訴の対象となる国でさえも同様です。スパイウェア開発者は、たとえば「これはペアレンタルコントロールのためのアプリである」と主張するなどして法の抜け穴を利用しようとします。

倫理的には正しくないかもしれないが技術的には違法ではないアプリを買う人が後を絶たないのは、特に驚くことでもありません。過去1年間でカスペルスキー製品によって明らかになった事例だけを見ても、5万8,000人を超える当社製品利用者のスマートフォンやタブレットでストーカーウェアが検知されています。そのうち3万5,000人については、カスペルスキー製品を導入して最初のスキャンを完了したときに検知されており、それまでストーカーウェアがインストールされていることに気づいていなかった可能性があります。

ストーカーウェアがデータを漏洩させる危険性

法的な事情はどうあれ、ストーカーウェアは実際に危険をはらんでいます。このようなアプリは、スパイ行為をする方とされる方の両者にとってリスクとなるのです。アプリをインストールした人の元へ、集められたデータがどのように渡されるのか考えてみましょう。データはサーバーにアップロードされ、アプリをインストールした側はそのサーバーにアクセスして必要なデータを探し出す仕組みです。たとえば悪事に手を染めている疑いのある従業員を監視する場合、その人が送受信するすべてのメール(機密文書やプロジェクトの詳細が添付されているものもすべて)がそのサーバーに転送されるわけで、あなた自身が書いたメールもその中に含まれます。思いを寄せる相手の秘密を知りたいと思っている場合であれば、あなたが送った告白のメッセージもサーバーに記録されます。

しかし問題は、サーバーに転送されたデータを見られるのは果たしてあなただけなのかということです。おそらく、あなただけではありません。アプリ開発者も、ほぼ間違いなくそのデータにアクセス可能でしょう。それだけではありません。最悪の場合、この秘密のデータがどこかの犯罪者の手に渡ったり、一般に公開されたりすることも考えられます。

2018年8月、L. M.というリサーチャーがAndroidアプリ「TheTruthSpy」に脆弱性を発見(英語記事)しました。ログインアカウントとパスワードのデータを暗号化せずに送信するという脆弱性です。L. M.はこれを利用し、このスパイウェアを通して掌握した1万台のデバイスから写真、録音された音声、メッセージ、位置情報を取得しました。

2019年3月には、別のリサーチャー、シアン・ヒーズリー(Cian Heasley)氏が「MobiiSpy」というアプリのサーバー全体が一般に公開された状態になっている(英語記事)ことを発見しました。ここには9万5,000枚の写真(かなり親密な感じの写真も含む)と、2万5,000件以上の音声録音が保存されていました。MobiiSpyのホスティングプロバイダーであるCoderoは、サイトを停止させる(英語記事)ことでこの問題に対応しました。

Motherboardによれば、ストーカーウェアを開発した企業のうち、過去2年間に12社がデータを漏洩させた(英語記事)とのことです。要は、そのようなアプリを誰かのデバイスにインストールすると、その相手だけではなく自分の情報も被害に遭う可能性が高いということです。

デバイスの保護機能を侵害するストーカーウェア

ストーカーウェアのインストールのプロセスにも、問題があります。まず、こうしたアプリはGoogle Playなどのポリシーに従っていないことが多いため、公式ストアでは扱われていません。ということは、Androidデバイスの場合、サードパーティのアプリのインストールを許可しなければならないことになり、多くのマルウェアに侵入のチャンスを与えることになります。

次に、ストーカーウェアはシステムの権限をいくつも要求してきます。root権限を求める場合もあります。root権限を得たアプリはデバイスを完全にコントロールできるようになり、他のアプリをインストールすることまで可能となります。

さらに、スパイアプリの中には、セキュリティ製品を無効にするように要求するものもあります。必要な権限があれば、セキュリティ製品を削除することもあります。

合法なペアレンタルコントロールアプリとの違いは、まさに上記のような点です。合法アプリならば公式ストアで入手できますし、デバイスの中で存在を隠そうとしたりウイルス対策アプリを無効にしたりすることはありません。ペアレンタルコントロールアプリは、利用者にとって脅威となるものではないのです。

ストーカーウェアから自分を守るには

誰かのデバイスにストーカーウェアをインストールしようと思いついたとしても、そうする前によくよく考えるべきです。そして、自分のデバイスにそのようなものをひっそりインストールされないためには、以下の対策をお勧めします。

  • デバイスには強固なパスワードを設定し、誰にも教えないでください。家族にもです。
  • サードパーティのアプリをインストールできないようにしましょう。そうすれば、ストーカーウェアだけでなくマルウェアからも保護されます。
  • 自分のスマートフォンにインストールされているアプリを定期的に確認し、不要なものは削除しましょう。メモリの容量も解放されますし、通信にかかる料金の節約にもなります。
  • 信頼できる保護製品を使用しましょう。ストーカーウェアを違法としていない国もあり、厳密にはマルウェアとはみなされませんが、多くのウイルス対策製品はストーカーウェアを検知して利用者に警告します。その場合、ストーカーウェアは「not-a-virus」、つまりマルウェアではないが注意が必要なものとして分類されます。

カスペルスキー インターネット セキュリティ for Androidをお使いの方へ:当社製品ではこれまでストーカーウェアを「not-a-virus」として検知してきましたが、最新バージョン(11.25.25.70)では、検知した際に特別な通知を表示するようになりました(下図)。このようなソフトウェアがどういった脅威となる可能性があるのかを、利用者に認識していただくことを意図しています。

ヒント