ずる賢くプライバシー侵害ツールを販促するモバイルスパイウェア業者

私たちのプライバシーが詰まったスマートフォン等のモバイル端末を誰かが密かに監視するためのスパイウェア製品が世の中では堂々と販売されています。知らぬ間にスパイウェアをインストールされると、嫉妬心や悪意からストーカー被害を受ける危険があることに加え、本当に誰かを守るためにこれらのツールを使う場合でもその人を危険にさらす可能性があります。

今日のモバイル端末、特にスマートフォンは、多くの人々の生活においてなくてはならないものになりつつあります。しかし、このスマートフォン上でのあらゆる個人活動を密かに監視し相手のプライバシーを侵害するソフトウェア – スパイウェア – が、その目的で堂々と販売され流通していることに私たちは注意する必要があります。

ここでのスパイウェアとは、ゲームやその他のジャンルのアプリを装ってユーザにインストールさせ密かにそのユーザを監視するトロイの木馬型マルウェアではありません。恋人や配偶者、子供、従業員を監視する目的で、「スパイアプリ」あるいは「モニタリングアプリ」として堂々と配布されているものです。これらスパイウェアの入手者は、監視したい相手のスマートフォンにスパイウェアをインストールし、その相手の様々な行動をリモート監視します。多くのスパイウェアが、その製品の特長として「相手に絶対気づかれない」ことをアピールしています。相手の同意なく勝手にスパイウェアをインストールし、気づかれずにスマートフォン上での相手の行動をほぼ全て監視することに何の正当性があるでしょうか。

2014年9月には、米国でスパイウェア StealthGenie の販売者が起訴されるというニュースが報道されました。このようなスパイウェアは、例えば、家庭内暴力者による被害者のストーキングに悪用されうるものであり、それを提供・販売することは犯罪に等しい、というのが理由です。しかし、同種のスパイウェアはまだ数多く市場に流通しており、今後も私たちのプライバシーを脅かし続けるでしょう。

多くのスパイウェアは、一般に以下のようなユーザ情報や行動を密かにリモート監視できる機能を持ちます:

  • 通話を録音した音声ファイルや、発着信履歴
  • SMS送受信履歴やそのメッセージ内容
  • 電話帳の内容
  • Web閲覧履歴とブックマーク
  • 写真画像や動画、文書等のファイル
  • 現在の位置情報
  • 端末に登録されている各種アカウント名、メールアドレス

さらに、一部のスパイウェアは、特殊な条件下(ルート化されたAndroid端末、JailbreakされたiOS端末)では、WhatsApp、Facebook、LINE、Skype、Viber、Kik等のSNSやメッセージングアプリでの会話内容も監視できると謳っています。

このように相手を密かに監視するスパイウェアは、モバイルアプリの公式アプリストアで提供されることは極めて稀です。場合によってはスパイウェアとしても使用可能な、盗難防止アプリやペアレンタルコントロールアプリ等は公開されていますが、相手のプライバシーを侵害することが主な機能であるアプリはおそらく公式ストアの規約に反するということで公開されていないのでしょう。

しかし、McAfeeは最近、公式ストア上でこれらのスパイウェア業者が「ずる賢く」これらのAndroid端末向けスパイウェアをオファーしているのを確認しました。これらの業者(あるいはアフィリエイト協力者)は、スパイウェアをダウンロードする、あるいはスパイウェア販売サイトへ誘導するためだけの機能を持つアプリを公式ストア上で多数公開しています。スパイウェアを購入したい人は今でもそれらのスパイウェア販売サイトから入手することはできますが、公式ストアに導線を張ることで、さらなる販路拡大を狙っているのでしょう。

あるアプリは、起動すると単にスパイウェア販売サイトへユーザを誘導します。別のアプリは、業者のサーバから直接スパイウェアをダウンロードしユーザにインストールを促します。このように、公式ストア上では入口となる無害なアプリを公開し、それらを通じて外部サイトからスパイウェアをダウンロード、インストールさせるのです。このように公式ストア以外からインストールされたアプリは、公式ストアのMy Apps一覧には表示されないため、最初の入口となるアプリをアンインストールされると、監視されるユーザが気付きにくいという点も注意が必要です。

インストールされたスパイウェアは、その端末ユーザに気づかれないよう、ホーム画面やアプリ一覧画面から自身のアイコンを削除します。そして、バックグランドで常時動作し、ユーザの操作を監視、リモートサーバに送信しているのです。あるスパイウェアは、初回起動時にデバイス管理者権限としての登録を要求することで、ユーザが気付いたとしてもアンインストールを困難にするという細工を行います。

スパイウェアの多くは公式ストア以外の外部サイトで提供されることが多いため、Android端末の設定で「信頼できないソースからのアプリのインストール」を不可にしておけば、インストールできません。また、McAfee Mobile Securityのようなセキュリティソフトは、これらのスパイウェアの存在を検出し注意を促します。しかし、これらの方法は、ユーザが気付かずに自分でマルウェアをインストールしてしまうという場合には効果的ですが、ユーザを監視しようとする第三者が端末にアクセスしスパイウェアを勝手にインストールする、というシナリオでは、防御がより困難であると言えるでしょう。その第三者がセキュリティ設定の変更やセキュリティソフトの無効化をしたうえでアプリのインストールを行うことが考えられるためです。

このため、スパイウェアによる監視を逃れるためにユーザは、通常のマルウェア対策に加え、以下の注意を徹底する必要があります。

  1. 第三者に端末を触らせない、操作させない。
    端末に必ずロックをかけ、自分が不在の間に勝手に設定変更やアプリインストールをさせないようにする
  2. 第三者が端末を操作した場合は、行われた変更に注意する。
    特に、アプリのインストールやアンインストールが行われていないか、セキュリティなど端末の設定が変更されていないか、を確認する。 スパイウェアの多くは、通常のホーム画面やアプリ一覧画面にはアイコンを意図的に表示しないようにしているため、必ず[設定] – [アプリ]から確認する。あるいは、McAfee Mobile Securityのようなセキュリティソフト上でアプリ一覧を表示し、確認する。
  3. 第三者から提供された端末には、気を付ける。
    初期設定であるかどうか、不審なアプリがインストールされていないかを確認する。端末のリセットを行ってから自分で初期設定するのが望ましい。怪しげなオンラインショップで購入した場合や、怪しげなショップがアプリをインストールしてくれた場合も同様。

一方、あなたが大切な人を守るために、その相手に伝えたうえでこの種のスパイウェアを使って「見守る」場合にも、いくつかの注意が必要です。不用意なスパイウェア使用は、守るべき相手を危険にさらすことになります。相手のスマートフォンを監視して得られた情報は、あなた(またはその相手も含む)しかアクセスできないようになっていなくてはなりません。スパイウェア業者がアクセス可能になっているのは危険です。そのスパイウェア業者自体が悪質だった場合、あなたの大切な人のプライバシーが丸裸になり、悪質行為の被害者になる可能性もあります。情報はあなたしか知らないパスワード等で暗号化され、あなたでしか復号できないようになっているべきでしょう。そうでない場合、たとえ、スパイウェア業者に悪意はなくとも、セキュリティ上の不備から情報が外部に漏れたり第三者に悪用されたりする可能性もあります。私たちが確認した多くのスパイウェアには、これらのプライバシー情報に加え、監視サービスのアカウント認証情報さえ、ネットワーク上を平文で流しているものがありました。例えば、監視する相手が、適切なセキュリティ設定がされてない無防備な公衆無線LANでスマートフォンを使っていた場合、悪意ある第三者に情報をすべて傍受される危険もあります。

スパイウェア製品の多くは、恋人や配偶者、子供を守るため、あるいは従業員の不審な行動を防ぐため、などと謳い、その存在を正当化しようとしています。しかし、このような目的であるならば、相手に気づかれずに監視する必要はなく、相手の目の前でアプリをインストールし、どのような行動や情報がリモートから監視できるのかを相手に直接伝えたうえで行えば良いはずです。また、その方が、不適切な行動を抑止する効果が得られるのではないでしょうか。密かにスパイウェアをインストールすることは、プライバシーの侵害や潜在的な犯罪被害につながるだけです。

※本ページの内容は McAfee Blog の抄訳です。

原文: Spyware Vendors Find New Ways to Deliver Mobile Apps
著者: Daisuke Nakajima (Mobile Malware Researcher)