プライバシーリスク
スマートフォン利用者を追跡するための「ストーカーウェア」とは?
ストーカーウェアは多くの場合、サードパーティのアプリストア経由で提供されており、ユーザの同意なしにインストールされ、デバイス上の隠ぺいや別のアプリやプロセスへの偽装といった手法で自身の存在を隠そうとします。ストーカーウェアやストーキング目的の監視ソフトウェア使用は重大なプライバシー侵害につながるだけでなく、顧客データが誤って漏えいする危険性もあり、深刻なセキュリティ上の懸念となります。
2011年、日本で「カレログ」というAndroidアプリの存在が大きな注目を集めました。カレログは「彼氏追跡情報サービス」の名目で、スマートフォン上のメールやSMS、Web閲覧履歴などの情報取得に加え、通話記録やGPSによる位置情報など物理的な情報までも追跡する機能を持っていました。当然、個人のプライバシーや法的な観点から問題視され、当時の総務相がコメントを出す事態となりました。 その後、運営元は2012年にカレログのサービスを終了し後継サービスに引き継ぐなど、問題点の改善を続けましたが、2014年には後継サービスも提供終了となりました。 カレログの登場から8年が経過し、デジタル情報は生活に溶け込み、コミュニケーションにおいては誰かにフォローされているという感覚が、ますます強くなってきています。ソーシャルメディアでは「フォロワーとの交流」という考えが一般的ですが、匿名の第三者が密かにオンラインでストーカーのようにフォローしているとすると、話は違ってきます。もちろん、オンラインに接続すれば、ISPを始め、Googleなどのサービス提供者やFacebookやTwitterのソーシャルサイトなど、さまざまな「追跡」があります。ただしこれらは、利用者の同意なしに密かに追跡しないことが基本のルールです。また、利用者にとってもカスタマイズされたサービスや関連性の高い情報を受け取るという一定の利益につながります。それに対して、特定の人物の行動をすべて追跡しようとするストーカー行為に使用されるアプリは「Stalkerware(ストーカーウェア)」と呼ばれます。ストーカーウェアは、追跡対象者に何の利益も与えることはありません。追跡対象者は常に誰かに監視されている状況に陥ります。
■ストーカーウェアとは?
スマートフォンの利用時間は年々増加しています。2019年には初めて、モバイルデバイスの利用時間がテレビの利用時間を上回りました。2021年までには、アメリカ人1日あたりの携帯電話使用時間は4時間近くに及ぶと予測されています。そして友人との交流はソーシャルメディアのチャットが利用され、日常の出来事は写真を使った投稿で頻繁に更新されています。同じデバイスにより、メール送信、ショートメッセージ、通話も行われます。その他、ショッピング、タクシーの手配、町中のナビゲーション、音楽鑑賞、YouTubeやテレビの視聴、オンライン銀行まで、文字通りの生活のあらゆることが手のひらのデバイス上で行われています。 そうした中、残念ながら、他人が何をして誰と一緒にいるのかを知りたいという人々が一定数存在します。嫉妬深いパートナー、心配性な保護者、過保護な両親、疑り深い雇用主などもその中に含まれるでしょう。こうした人々向けには、数年来、商用やフリーの監視用ソフトウェア、相手のデバイス内に潜む不正なスパイウェア、相手に気づかれないようそれらを隠ぺいさせるスパイコードなど、まさに小さな業界を形成する規模でさまざまなサービスが登場しています。しかも、わずか数ドルのコストで、自分のデバイス上で相手の以下のような行動をすべて監視できるアプリが簡単に入手できます。
- SMSメッセージ
- GPS座標/位置
- Eメール
- Webサイトの閲覧履歴
- キー操作の履歴
- 写真、動画、音声の記録
■ストーカーウェアの不正性
前出のカレログは商用のソフトウェアサービスでしたが、その追跡内容は現在のストーカーウェアと何ら変わりはありません。商用の監視用ソフトウェアであっても、それがスパイウェアとしてストーキング行為に利用されれば、その時点ではストーカーウェアと呼ぶべき存在になります。このことは遠隔操作用ソフトウェアと似ています。例えばWindowsのリモートデスクトップ機能は正規の機能ですが、外部の攻撃者による不正アクセスに悪用される可能性もあり、その場合には不正な活動を実現させるための機能となってしまいます。 監視用ソフトウェアを販売する企業も、その使用法という点では、倫理および法律の面からもグレーゾーンにあると見なされる可能性があります。監視用ソフトウェアは技術的には合法である一方、使用法の点では、あえて合法であるようにブランド化されているとも言えます。利用者として、子供の安全を確認したい親、勤務時間中の業務状況を確認したい雇用主を想定していることからも分かります。しかし、商用の監視用ソフトウェアを使用した場合であっても、相手の承諾や同意なしに監視することは、倫理基準を逸脱した行為であり、場合によっては法律に違反する可能性もあります。しかも、相手のデバイスにインストールされていることがわからないように潜伏するスパイウェアやそのためのスパイコードなど、隠ぺいを意図して特別に設計されている場合などは、間違いなく一線を越えており、不正なアプリとみなされることになります。 現在、入手可能な監視用アプリにはさまざまな種類があり、例えば、Retina-X社のMobile Spyをはじめ、FlexiSpy、Mobistealth、Spy Master Pro、SpyHuman、Spyfone、TheTruthSpy、Family Orbit、mSpy、Copy9、Spyera、SpyBubble、Android Spyなどが挙げられます。業界の慣習からすべての情報が公開されているわけではないため、これらのソフトウェアがどの程度の規模でストーキング行為に悪用されているかを正確に把握することは困難です。ただし、市場に出回っているこれらのアプリ利用者数は、ある程度の目安になるはずです。2017年の記事によると、13万人がRetina-XやFlexiSpyのアカウントを所有していることが示され、またmSpyの場合は、既に数年前、ユーザ数が200万に達したと報じられていました。 ストーカーウェアや、ストーキング目的の監視ソフトウェア使用は、重大なプライバシー侵害につながるだけでなく、これらのアプリにより企業が狙われ、顧客データが誤って漏えいする危険性もあり、深刻なセキュリティ上の懸念となります。
■被害の有無をチェックするには
ストーカーウェアを相手のデバイスにインストールさせる場合、通常、直接そのデバイスに触れる必要があります。一方、Eメール、テキストメッセージ、Webサイト、ソーシャルメディア上にリンクを埋め込み、相手にクリックさせてインストールするなど、さまざまな攻撃経路を駆使することも可能です。iOSデバイスの場合、許可されないアプリを起動させるジェイルブレイクの手法が必要ですが、構成プロファイルを悪用する手口などもあり、iOSデバイスのユーザも注意が必要です。正規マーケット以外のサードパーティマーケットやインターネット上のファイルをインストール可能なAndroidデバイスのユーザはさらに危険と言えるでしょう。 「Life360」など、正規のGPSトラッカーアプリは、Google Playから入手可能であり、インストールされた後もデバイス上でその存在が確認できます。一方、ストーカーウェアは、多くの場合、サードパーティのアプリストア経由で提供されており、ユーザの同意なしにインストールされ、デバイス上の隠ぺいや別のアプリやプロセスへの偽装といった手法で自身の存在を隠そうとします。こうしたストーカーウェアは、いくつかの兆候を頼りに、以下の方法でその存在を確認することができます。
- 公式のGoogle Playストア以外からダウンロード可能となっているかチェックする。デバイスのUIにより異なるものの、通常、「設定」>「セキュリティ」>「提供元不明のアプリ」の手順で確認可能。「提供元不明のアプリ」の項目がオンの場合、ストーカーウェアがインストールされるリスクとなる
- ダウンロードやインストールをした見覚えのないアプリが存在しないかチェックする
- 「設定」>「アプリケーション」>「実行中のサービス」をチェックし、不審なサービスが実行中でないか確認する。見覚えのないサービスが存在する場合、Google検索等でサービスを確認する
- ストーカーウェアはデバイスの動作を遅くする可能性があるため、パフォーマンス低下などの状況に気づいた場合、デバイスを調査する
- 「I’m watching you!(お前を監視している!)」などのストーカーからと思われるメッセージを受信したら、問題のスパイアプリやコードを突き止めるため、デバイスを調査する
■被害に遭わないためには
ストーカーウェアは、自身を隠ぺいするように設計されているため、その存在を確認することは困難ですが、不当なストーキング行為からユーザのデバイスや生活を守るためにも、以下の注意事項が有効です。
- デバイスは常に自分の目の届くところに置いておくこと
- 迷惑メール、テキストメッセージ、ソーシャルメディアメッセージなどに掲載された不審なリンクをクリックしないこと
- ストーカーウェア問題への取り組みを公表している信頼のおけるセキュリティ企業の対策ソフトをインストールすること。これにより、キー操作情報窃取などの不正活動だけではなく、ストーカーウェア自体を検知することができる。ご使用の対策ソフトがPUA(潜在的に迷惑なアプリ)を検知できる場合、同様にストーカーウェアも検知することが可能。なお、ストーカーウェアを検知してユーザを保護するためには、アルゴリズム強化など、セキュリティ業界全体でのさらなる取り組みが求められている
- デバイスにどのようなアプリがインストールされているか常に確認しておくこと
- オンラインアカウントの二要素認証を有効にすること。これにより、万一パスワードが窃取されても、特に金融アカウントの場合、パスワードによる外部からログインを阻止することが可能
- パスワードの管理ソフトを用いて、すべてのアカウントに別々の強固なパスワードを使用すること
■トレンドマイクロの対策
トレンドマイクロでは、モバイル環境での総合セキュリティ対策として、個人利用者向けにはGoogle Playで利用可能な「ウイルスバスター モバイル」、法人利用者向けには「Trend Micro Mobile Security™」を提供しています。これらの製品ではトレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network(SPN)」の機能である「Mobile App Reputation(MAR)」技術や「Web レピュテーション(WRS)」技術により、不正/迷惑アプリの検出や不正/迷惑アプリに関連する不正 Web サイトのブロックに対応しています。 記事構成:岡本勝之(セキュリティエバンジェリスト) 参考記事:
- 「Stalking the Stalkerware」 by Trend Micro
翻訳: 益見 和宏(Core Technology Marketing, Trend Micro™ Research)