Episode 45| 「ストーカーウェア」の最も恐ろしいこと
これまで、マルウェア、ランサムウェア、スパイウェアについては良く知られてきましたが、最近ではストーカーウェアと呼ばれる、誰かがデジタル的に特定の人物を監視するための不気味なアプリケーションに対する懸念が高まってきています。ストーカーウェアとは一体何なのでしょうか?それをどうすれば見分けることができるのでしょうか?誰が、どのような理由で仕掛け、そして誰が犠牲になるのでしょうか?電子フロンティア財団(EFF)のサイバーセキュリティー担当ディレクター、Eva Galperin(エヴァ・ガルペイン)氏にサイバーセキュリティーサウナのエピソード45に参加いただきました。彼女はストーカーウェア対策の取り組みであるCoalition Against Stalkerwareの設立に尽力されました。さらに、エフセキュアの戦術防衛ユニットの脅威研究者であるAnthony Melgarejo(アンソニー・メルガレホ)にも加わっていただきました。
Janne Kauhanen:お二方とも、このポッドキャストにようこそ。
Eva: お招きいただき感謝します。
Anthony: ありがとうございます。参加できて嬉しいです。
それではEva、まずあなたのことについて教えてください。ストーカーウェアと闘うようになったきっかけは何ですか?
Eva: 私は、ごく普通のセキュリティ研究者として、主にジャーナリストや活動家をターゲットにしたAPTを長年研究してきました。ある日、大半の期間を費やして調査対象としていた人物が連続レイプ犯として摘発されました。私は本当に腹が立ちました。被害者の一人のインタビュー記事を読みましたが、その中で特に印象的だったことは、彼女がいかにおびえていたかということです。彼女はストーカーウェアを恐れるあまり、直ぐに届け出ることができなかったのです。この犯人はハッカーでもあったので、彼女は自分のデバイスが侵害されているのではないかと危惧していました。もはやデバイスは安全ではなく、したがって彼女自身も安全ではないと感じていました。
私はあまりにも腹が立ったのでツイートしました。このようなことでツイートすることが頻繁にありました。数年前に私がツイートしたのは、「もしあなたがハッカーに性的虐待を受けた女性で、自分のデバイスのことを心配しているなら、私に連絡してくれれば、あなたのデバイスの完全なフォレンジック調査を受けられるようにします」という内容でした。
数えきれないほどリツイートした後、私は無意識のうちに、ある取組みを始めていました。
虐待を無くす取組みですね。
Eva: そうです。さまざまな人から多い時には1日に30件ものメッセージを受け取るようになりました。現在でも、本当に憂慮すべき状況にある人達からメッセージが来ています。1年半あまり当事者の人達と共に取り組むことで、彼女達が抱えている問題の本質を理解しようとしました。
なぜなら、セキュリティ研究者が陥りやすいのが問題の本質を見誤るということだからです。セキュリティ保護を望む人達に対して、「これとこれさえやれば、すべてが解決します」と通り一遍の助言することが多いのですが、実際には人々の行動に起因したさまざまな問題があるのです。
私が調査したほとんどのケースでは、デバイスの侵害ではなくアカウントの侵害だったことが判明しました。デバイスの侵害と思い込んでいたものでも、技術的なもの以外は大半がアカウントの侵害だったのです。これはある意味幸いでした。なぜならアカウント侵害なら解決策があるからです。すべての人にパスワードマネージャを使うようアドバイスするのです。ユニークで強力なパスワードを設定し、最高レベルの2段階認証(2FA)を使って、安心して利用できるようにすることで、アカウントを厳重にロックすることができます。
それでも、本当にデバイスが侵害されているケースがいくつか残されており、その結果アカウントが何度も侵害されていました。それこそがストーカーウェアで、誰でもオンラインで購入し、他人のデバイスにインストールして追跡することができるものでした。
ストーカーウェアは、配偶者の浮気の証拠をつかむ方法として、子供を追跡する方法として、あるいはその他の安全やセキュリティ保護のツールとして販売されています。しかし、これらのツールが虐待行為の一貫として、被害者がどこにいて、何をしていて、誰と話しているのかを追跡するためにも使用されていることは間違いありません。
それはぞっとしますね。親が子供の居場所を知りたいと思うのは理解できます。あまり深く考えたことはありませんでしたが、その場合は問題ないと思います。しかし、ストーカーウェアはメッセージや通話履歴などにもアクセスできると思いますが、これは不法侵入的な行為ですね。
Eva: ストーカーウェアによって機能はさまざまです。このポッドキャストを聴いている方なら誰でもご存知のように、rootはrootです。機能はrootの後に来きます。そして機能自体はストーカーウェアによる最大の脅威ではないのです。
私は、ストーカーウェアにおける最大の脅威は、デバイスの持ち主に決して悟られることなくインストールされ潜伏されることだと考えています。スパイしていることが露見しないように設計されているのです。被害者は、相手の行為に同意する機会すら与えられません。実に厄介な存在です。
先ほど話された、親が子供を見守るために買い与えたスマートフォンで居場所を知りたいという場合はどうしますか?
多分、そのことを子供に知らせておくでしょう。
Eva: ええ。必ず知らせてあげてください。「これはあなたのために買ったスマートフォンで、これがインストールしたソフトウェアで、その機能はこうで、あなたを見守るためのものです」ということをお子さんに伝えましょう。これは子育てと捉えてください。もし伝えずに隠すと、それは虐待になります。
分かりました。監視するように設計されたソフトウェアを作っている人がいて、売っている人がいるのは気味が悪いですね。
Eva: このようなソフトウェアを販売している人物がいるのは本当に不気味です。私はセキュリティ研究者であり、また電子フロンティア財団に勤務しているので、こういった連中をどうやって追跡するかということに腐心しています。電子フロンティア財団は、合衆国憲法修正第1条によって保障されているコードを保護することにささげられている組織です。この場合のコードとは言論のことです。私たちは、セキュリティ研究者の権利の保護について危惧しており、研究者の言論の自由を守って欲しいと願っています。同じコードと言っても虐待を目的に設計されたスパイコードが売買されると深刻な問題が発生するのです。
はい。ではこのようなコードはどこから来たのでしょうか?どのような経緯があるのですか?
Eva: これを開発している会社は6社か、それ以下だと思いますが、アメリカ、オランダ、イスラエル、インドの企業を見たことがあります。ほんの数社だけが存在していて、製品の名称や外観を頻繁に変えています。あるいは誰かに外観を変える権利を売っているのです。そのため製品は6種類でも、それらには数千もの名前が付いています。
なるほど。これらのソフトウェアのうち、正当な目的を持ったものはありましたか?
Eva: 販売会社は、子供や配偶者などを追跡するためにソフトウェアをインストールすることは、おかしなことではなく完全に合法だと言うでしょう。不気味に感じるのは見る人次第だと言い張るでしょう。
不気味かどうかの線引きをするのは、同意する行為だと思っています。誰かをだましてソフトウェアがデバイス上にないと思い込ませることで、発見されたり削除されないようにしている限り、自分がどれだけ善良で、おかしなことはしていないと考えていても、また、自分を裏切っているかもしれない配偶者のせいだと考えていても、その行為自体は問題になります。
Anthony: 現在Coalition Against Stalkerwareは、デバイスを追跡するときには常に同意を求めるよう開発者に働きかけ、親やパートナーが監視していることをユーザが定期的に認識できるよう指導し始めました。これらのアプリケーションを盗難対策ソリューションとして構築する開発者もいます。たとえば、スマートフォンが盗まれた場合、どこにあるかを追跡できます。それ自体は不気味なことではありませんが、もちろん誰かがその機能を悪用すると恐ろしいことになります。
それでは、ストーカーウェアは具体的にどのように機能するのでしょうか?また、どうやって他人のスマートフォンにインストールするのですか?
Anthony: 通常、ストーカーウェアは、虐待する側のパートナーによってターゲットデバイスに物理的にアクセスすることによってインストールされます。お互いが親密な関係にあればパスワードを共有するのはよくあることです。お互いの経歴を知っているので、パスワードやセキュリティリセットの質問を推測するのも比較的容易です。デバイスのロックを解除したり、パスワードを入力したりするときに、後ろからそっとのぞき見することもできます。また、「これをインストールするといい。すばらしいアプリだから」と偽ってストーカーウェアをインストールさせることもできます。
要するに、デバイスに物理的にアクセスしたり、だましてリンクをクリックさせたりするのですね。基本的には、他のマルウェアがデバイスに侵入する方法と同じですね。
Eva: マルウェアと異なるのは、攻撃者がユーザ名とパスワードをすでに知っていて、デバイスに物理的にアクセスできるという点です。
Anthony: 一般的に、マルウェアはリモートから、またソーシャルエンジニアリングによってインストールされます。ストーカーウェアがマルウェアと大きく異なるのは、身近な人のデバイスにインストールされるということです。
それがストーカーウェアの典型的なユースケースですか?恋愛関係にある人ということですね。それがこの種の犯罪における典型的な被害者になりますか?
Anthony: これが一般的なシナリオです。もちろん、先ほどのEvaの話のように、何らかの方法でスマートフォンにアクセスして、アプリケーションをインストールした性犯罪者のケースもあります。
そうですか。それでは、ストーカーウェアを見つけるにはどうすればよいのでしょうか?これらのアプリケーションの中には多少なりとも潜伏するものがあるという話でしたが、デバイスではどの程度まで存在を隠すことができるのでしょうか?
Anthony: 一旦インストールされると、ユーティリティやシステムアプリケーションのように見えるアイコンや名前が表示されます。スマートフォンにストーカーウェアが入っているかどうかを調べる方法はいろいろありますが、ほとんどは設定を確認するだけで済みます。たとえばAndroidでは、デバイス管理アプリケーションを確認します。デバイス管理アプリケーションには、ストーカーウェア機能を監視する権限が追加されています。そのリストのすべてが、自分がインストールしたものであることを確認してください。疑わしいアプリケーションの存在は、何か問題が起きていることを示す兆候になります。
次に権限を調べることでもチェックできます。アプリケーションが「バッテリーセーバー」、「アップデートサービス」などの名前になっていて、通話、メッセージ、カメラ、マイクへのアクセス権限があるような場合は怪しいです。また、デバイスの動作やリソースの使用状況に変化が生じることもあります。たとえば、バッテリの消耗が速くなったり、データの使用量が増えたり、処理速度が少し遅くなったりします。
iPhoneユーザはどうですか?iPhoneのインフラストラクチャは、壁に囲まれた庭のようなものですから、果たしてこのような行為は可能でしょうか?
Eva: iPhoneで見られる最も一般的なタイプのストーカーウェアは、iOSデバイスを改造する必要があるもので、改造の状況にもよりますがiPhoneへの物理的なアクセスが必要になることがよくあります。しかし、私が最もよく目にしているのは、iPhoneが改造されていなくとも定期的にiCloudバックアップをスクレイピングするアプリケーションで、24時間に一度すべてを抽出します。この場合、被害者の行動をリアルタイムで監視することはできませんが、ストーカー行為に変わりはありません。
iCloudバックアップは使わない方がよいということですか?
Eva: それは時と場合によります。
いかにも技術者的回答ですね。
Eva: はい。
Anthony: 要するに、アプリケーションをインストールする際は十分に注意する必要がるということです。
Eva: ええ。セキュリティエンジニアに質問すると、まずため息をついてから遠くを見つめ、「それは時と場合によります。」と答えるでしょう。最悪ですよね。(笑)
もしiCloudバックアップを有効にしていないのにもかかわらず、突然有効になったとしたら、非常に怪しい状況だと言えます。
なるほど。私の彼女は新しいiPhoneを手に入れたばかりで、設定するのを手伝って欲しいと言ってきました。私の指紋を登録して、バックアップを含め全部設定するように頼まれましたが、「いや、そんなことはすべきではない。恐ろしい考えだよ。」と諭しました。
Anthony: 彼女には、ぜひこのポッドキャストを聴いてもらいましょう。
Eva: そうしましょう。
彼女は私のポッドキャストなど聞いてくれませんよ。
Eva: それはあなたの問題ですね。(笑)
パートナーを信頼していて、互いのデバイスにアクセスしパスワードにアクセスしセキュリティに関する質問を知っていることは極めてよくあることです。しかし、今は互いを信頼していたとしても、これから先も信頼関係が続くとは限りません。虐待する人が、最初から「私はあなたを虐待します」と大手を振って現れることは、まずありません。彼らは非常に複雑な恋愛関係にあることが多く、それが二人の生活やプライバシーを切り離したり、安心できる自分だけの空間を作ることを困難にしているのです。
加害者がどのような人たちなのか知っていますか?ストーカーウェアを使うような虐待者の典型的なプロフィールとは?
Eva: 私が話をしてきた被害者について言えば、加害者の約2/3が男性で、1/3が女性でした。したがって、男性だけが悪いという印象を持ってほしくありません。女性が男性を虐待するケースを見たこともあります。男性が男性を、女性が女性を虐待することも見てきました。兄弟姉妹、両親、子供を虐待するケースもありました。あらゆる組合せがあるのです。
しかし、本当に覚えておくべき重要なことは、この種の虐待は極めて陰湿だということです。外見で見分けるのは実に難しいのです。そして、虐待に手を染める人たちは、普通は、相手がどこで何をしていて、どこへ行くのかを心から心配していて、助けるためにそばにいるだけだと言い張ります。問題は非常に複雑なのです。
なるほど。自分のスマートフォンにストーカーウェアがあることに気付いたとします。どうすれば削除できますか?単にアンインストールするだけで済みますか?
Anthony: ほとんどのストーカーウェアは、デバイス管理アプリケーションのリストから削除し、最終的にスマートフォンからアンインストールすれば済みます。しかし、工場出荷時の状態にリセットする必要がある場合もあります。ただし、ストーカーウェアはマルウェアとは異なり、被害者の近くにいる人がインストールすることが多いため、すぐに削除するのが最も安全な方法とは限りません。削除するとインストールした人に通知が行き、その結果、暴力がエスカレートする可能性があるからです。
よくわかりました。それは重要なポイントですね。
Anthony: もしそれが本当にストーカーウェアだと思うのであれば、安全な場所に行き、必ずプリペイド電話を使ってすぐに警察に連絡すると同時に、家庭内暴力被害者の支援団体に連絡すべきです。
Evaはどう思いますか?スマートフォンでスパイされていると思っている人に何かアドバイスはありますか?
Eva: 通常、最初に私がすることは、デバイスの侵害とアカウントの侵害を区別することです。すべてのアカウントをロックして問題が続くかどうかを確認します。
多くの場合、この種の被害者への最善のアドバイスは、必ずしも何が悪いのかを知る必要はないと説明することです。医者か探偵になった気分で、最も良く利用するアカウントから削除して、次に利用するアカウントを削除し、それを繰り返して絞り込みます。
パスワードを変更して2段階認証を有効にした後も、何度も侵害されるようなアカウントは削除します。次にデバイス上のマルウェアを探し始めます。
なるほど。「Evaに電話をかける前に、これらのことを最初に行うこと」などのように、自分でできるチェックリストはありますか。
Eva: いくつかのサイトにアクセスすることをお勧めします。1つ目は、私がとても気に入っているサイトです。あらゆる種類の資料が載っている素晴らしいサイトOperation Safe Escapeです。また、Coalition Against StalkerwareにもWebページがあり、stopstalkerware.orgに多くの資料があります。
それでは、Coalition Against Stalkerwareについて話し合いましょう。この組織は何をするのですか?実際にはどのようにストーカーウェアと闘っているのでしょうか?
Eva: この組織は、学者やセキュリティ研究者、セキュリティ企業、そして家庭内暴力の被害者に直接働きかけるセキュリティの実務家で構成されています。我々はさまざまなことを行っています。
まずストーカーウェアの標準的に定義することから始めました。これにより、人はそれを見てストーカーウェアだと認識できるようになりました。この定義の決定は、特に一定のインフォームドコンセントに基づいて実施されました。これは、これまで誰も深く考えていなかったことでした。
また、セキュリティ企業間での情報共有にも取り組んでおり、ウイルス対策ツールをマシンにインストールすることで、ストーカーウェアをより正確に認識できるようにしています。私が数年前に行った調査では、基本的にAV企業は、ストーカーウェアを認識するのが得意ではなく、特に最新版のストーカーウェアやモバイルストーカーウェアを認識するのが苦手だということが分かっています。
したがって、情報共有が私たちの主な活動になります。共有された定義に基づいて作業をしています。次のステップは、警察への働きかけと、現場組織へのトレーニングです。
セキュリティ製品がストーカーウェアを検知できないとなると気がかりですね。それではAnthony、エフセキュアの取り組みを教えてください。
Anthony: 正直なところ、Evaがこの報告書を公開する前は、すべてのセキュリティベンダーがストーカーウェアには注意を払ってこなかったのです。これは非常にまずかったと思います。問題意識を高めてくれたEvaに感謝します。今では、これらのアプリケーションの認識率は確実に上昇しています。
わかりました。私達はよい仕事するようになったのですね。
Eva: オーストリアの非営利機関AV Comparativesは、昨年末に実施したテストに基づいて調査を行い、今年の春に発表しましたが、この報告書は非常に参考になります。しかし、私としてはもっと多くのベンダーのテストを見たいと思っています。
Anthony: はい。AV Comparativesは、毎年この調査を実施しており、セキュリティベンダーがどれだけ改善したかを報告しています。私もEvaと同意見で、このテストに参加する組織が増えることを願っています。
よく分かりました。エフセキュアはCoalition Against Stalkerwareの参加メンバーですが、どのような貢献をしているのでしょうか?
Anthony: 私たちは主に技術的情報や統計情報を提供することで貢献しています。この連合体にはサンプル共有プラットフォームもあります。エフセキュアは、普及しているストーカーウェアをより正確に識別するための研究を開始し、価値の高いサンプルをそのプラットフォームに対して追加できるようにしています。さらに、サンプルを分析したり、関連記事を公開したり、このようにポッドキャストを行うなど、ストーカーウェアに対する啓蒙活動を展開しています。
ストーカーウェアの状況の変化について、事態は悪化していますか、それとも好転していますか?
Eva: それが良く分からないのです。
Anthony: その理由は過去のデータがあまり揃っていないからです。しかし、今ではこの問題が十分認知されました。2019年10月頃には、ストーカーウェアの検出数が月平均で45倍になっていることを当社のテレメトリで確認しており、劇的に増加しています。
確かに急増していますね。
Eva: これは、おそらくストーカーウェアの数が増えたというよりも、以前から存在しているストーカーウェアを検知する機能が向上したことによるものでしょう。
Anthony: そうだと思います。
Eva: すでに存在するストーカーウェアを検知する能力がかなりの段階に達したら、ストーカーウェアが拡大しているか縮小しているかについて、何らかの結論を出すことができるでしょう。
はい分かりました。たとえそれが商用ソフトウェアであっても、その会社のWebサイトがいつ開設されたのかをさかのぼって確認することはできませんか?彼らがいつ始めたのか分からないですね。
Eva: 確認することはできますが、その会社のソフトウェアは別の会社のリブランド版であり、別の会社もまたリブランド版を扱っている可能性があります。
本当に限られたデータからしか市場規模を推し量ることができません。たとえば、2018年夏に、ある会社がGoogle Playストアで4種類のストーカーウェアアプリケーションがGoogleの審査を通過しているのを発見しています。Googleはさらに4つの別のストーカーウェアを確認しましたので、Google Playストアには合計8種類のストーカーウェアアプリケーションが存在していたことになります。そして、私の記憶が正しければ、製品が削除された時には、すでに14万回ほどダウンロードされていました。
これにより、どれだけの人がこれらの製品をダウンロードしているのか、ある程度の見当がつきます。そして、おそらく多くの人が悪意を持ってこれらの製品を入手していると思われます。
ええ。それでは、アプリストアはこれを阻止するためにもっと努力すべきなのでしょうか?
Eva: もちろんです。幸いなことに、これらのアプリケーションは、既にアプリストアの規則に違反しています。したがって、アプリストアは現行の規定をより厳格に執行する努力をすればよいのです。
Anthony: そのとおりです。残念なことに、これらのアプリケーションが禁止または報告されると、彼らは単に名前を変更したり、外観を変更したりして、プレイストアに再登場しています。
そうですか。こうしたアプリケーションの多くは、実際には正規のアプリストアからダウンロードされているのであって、怪しげなAndroidストアからダウンロードされているわけではないのですか?
Eva: 正規のアプリストアを使っているのは一部のソフトウェアです。
Anthony: ええ、一部です。ほとんどの危険なものは、自社のサイトを持っています。有名になってしまったので、もう正規のアプリストアには登録できなくなったということです。
このような企業が活動している国の法律を変えるのは効果的でしょうか?
Eva: それは効果的ではないと思います。私が懐疑的に思っていることは、人々が問題に対して「法律があってしかるべきだ」とよく言うことです。当時私が最初にしたことは、すでに存在している法律に目を通すことでした。すると、企業が違反している法律と、アプリケーションをダウンロードする人、購入者、利用者が違反していると考えられる多くの法律を見つけたのです。怒りに満ちた強腰の弁護士仲間のおかげで、私はこれを法的に分析することができました。
要するに、法律がないことが問題ではないのです。すでに有る法律を執行していないことが問題なのです。
確かに、私たちは法律を執行することによって犯罪行為を阻止しようとしているので、法律を変えるのは矛盾した行為ですね。
Eva: そうです。
それではEvaに伺います。このポッドキャストのリスナーの中には、テクノロジーに精通した人々がいらっしゃると思います。その人たちがその気になったら、何かできることはありますか?
Eva: できることがいくつかあります。Operation Safe Escapeではセキュリティ文書のドラフト作成を手伝ってくれる人を探しています。この分野で経験があれば、Operation Safe Escapeに連絡を取ることを強くお勧めします。
AV会社や他のセキュリティ会社で働いている方でしたら、今こそCoalition Against Stalkerwareについて社内で話し合う良い機会です。私たちに参加して、素晴らしいサンプルを提供して頂くことを願っています。
さらに、Coalition Against StalkerwareのWebサイトにアクセスすると、私たちが現場で協力している多くの組織を確認できます。彼らは常にボランティアを必要としており、特に技術に精通したボランティアを求めています。
それでは、ここまでにしましょう。今日はポッドキャストに参加してくださりありがとうございました。
Eva: こちらこそありがとうございました。
Anthony: どうもありがとうございました。
カテゴリ