ストーカーウェアのデータベースがEUインフルエンサーの8万6千件以上のファイルを露出

研究者が公人を標的にした大規模なストーカーウェアデータベースを発見

サイバーセキュリティ研究者のジェレマイア・ファウラー氏は最近、ストーカーウェアによって収集された8万6千件以上の画像とプライベートチャットログを含む、保護されていないデータベースを発見しました。データは暗号化されておらず、パスワードによる保護もなく、場所さえ知っていれば誰でも完全にアクセスできる状態でした。最も深刻なのは、被害者が無作為ではなかったという点です。このデータベースは、著名なヨーロッパのセレブリティと複数のソーシャルメディアインフルエンサーを特定して標的にしており、商業用スパイウェアの使用が意図的かつ計画的であったことを示唆しています。

露出した記録には、WhatsAppとInstagramから直接取得したプライベートなやり取り、電話番号、身分証明書の写真が含まれていました。これは、セキュリティの甘いサーバーから認証情報が漏洩する一般的なデータ侵害ではありません。これは、監視をサービスとして提供する仕組みが実在の人物に向けられた事例であり、彼らの生活の親密な詳細が公開されたデータベースに放置されていたのです。

ストーカーウェアとは何か、そして他の脅威とどう違うのか

ストーカーウェアとは、デバイス（主にスマートフォン）に密かにインストールされ、プライベートな活動を静かに監視して第三者に送信するソフトウェアを指します。パスワードを狙うフィッシング攻撃やマルウェアとは異なり、ストーカーウェアはデバイスの内部から機能します。つまり、あなたの知らないうちにソフトウェアをインストールした人物がデバイスに物理的にアクセスした後から動作するのです。

この違いは、自分自身をどう守るかという点で非常に重要です。ストーカーウェアは、人々が頼りにしている防御のほとんどを回避します。インターネットトラフィックを傍受する必要はありません。メッセージが暗号化されて送信される前に読み取ります。ローカルに保存された画像をキャプチャします。連絡先と通話履歴を収集します。データがスマートフォンから送出される頃には、監視はすでに完了しているのです。

商業用スパイウェア製品は広く入手可能であり、しばしば保護者向け監視ツールや従業員追跡ツールとして販売されています。その使用をめぐる法的・倫理的な境界線は曖昧であり、規制を困難にしています。そして今回の調査が示すように、これらのツールの運営者が収集したデータを必ずしも安全に管理するわけではなく、自分が監視されていることさえ知らない被害者に対して二重の露出リスクをもたらしています。

VPNだけではストーカーウェアから身を守れない理由

VPNは、特に公共のネットワーク上やインターネットサービスプロバイダーからの監視に対して、インターネットトラフィックを保護する強力なツールです。デバイスとインターネットの間の接続を暗号化し、外部の監視者からの活動を隠します。しかし、VPNはデバイス自体の内部で起きていることを把握する手段を持っていません。

スマートフォンにすでにストーカーウェアがインストールされている場合、VPNはそれを止めることができません。スパイウェアはWhatsAppのメッセージをネットワーク経由ではなく、アプリから直接読み取ります。インターネット接続に触れることなく、写真ライブラリにアクセスします。VPNが保護を提供するレイヤーよりも深い、デバイスレベルで動作しています。

だからといって、VPNが無意味というわけではありません。多層的なプライバシー戦略の重要な一部であることに変わりはありません。しかし、VPNはあくまで多くのツールの一つに過ぎず、それを完全な解決策として扱うことは、今回のようなケースが明確に示す重大な盲点を残すことになります。

あなたにとって何を意味するのか

今回のケースの被害者は公人でしたが、この脅威はセレブリティやインフルエンサーだけに限ったものではありません。パートナー、家族、雇用主、知人によってデバイスにアクセスされた人なら、誰でも危険にさらされる可能性があります。収集されたデータが安全でないデータベースに放置されていたという事実は、本来の運営者以外の誰にも露出していたことを意味し、被害をさらに深刻なものにしています。

ストーカーウェアや商業用スパイウェアへの露出を減らすために取れる具体的な対策を以下に示します：

• インストール済みアプリを定期的に確認する。 自分でインストールしていないアプリも含め、スマートフォン内のすべてのアプリを定期的に見直しましょう。ストーカーウェアは汎用的な名前で偽装することがあります。見覚えのないものはすべて削除してください。
• デバイスの権限を確認する。 AndroidとiOSの両方で、カメラ、マイク、位置情報、メッセージへのアクセス権を持つアプリを確認できます。アプリの目的に合わない権限は取り消しましょう。
• セキュリティスキャナーを使用する。 いくつかのモバイルセキュリティツールは、ストーカーウェアを特定して検出します。「ストーカーウェア対策連合（Coalition Against Stalkerware）」が審査済みのリソース一覧を公開しています。
• 二段階認証を有効にする。 これはデバイスレベルのスパイウェアを防ぐものではありませんが、認証情報が収集された場合に第三者がそれを悪用できる範囲を制限します。
• デバイスへの物理的アクセスを制限する。 ストーカーウェアのインストールには、ほぼ必ず短時間の物理的アクセスが必要です。強力なPINや生体認証ロックを使用し、完全に信頼できない人のそばにスマートフォンを放置しないようにしましょう。
• オペレーティングシステムを最新の状態に保つ。 アップデートには、ストーカーウェアやその他の悪意あるソフトウェアが悪用する脆弱性を修正するパッチが頻繁に含まれています。
• 侵害が疑われる場合はファクトリーリセットを検討する。 これは極端な手段ですが、ストーカーウェアが存在すると考えられる根拠があり、それを特定できない場合、完全なリセットが最も確実な除去方法です。

ファウラー氏の調査は、プライバシーの脅威がオンラインでアカウントを狙うハッカーだけでなく、複数の方向から来ることを改めて示しています。自分自身を守るには、ネットワークトラフィックを傍受できる者だけでなく、物理的なデバイスにアクセスできる者についても考える必要があります。

デバイス上のストーカーウェアが心配な方は、今日からアプリの全面的な確認を始めてください。自分を守るためのツールは存在しています。重要なのは、自分が実際にどのような脅威から身を守ろうとしているのかを理解することです。