44歳のベンジャミンは、テキサス州ダラスのダウンタウンにある、注目のエリアの公園沿いに家を持っている。彼は人付き合いを控えており、ソーシャルメディアは避けているようだ。42歳のダルシーは、隣接するフォートワースにある、テラスハウスと芝生が並ぶ通りが続くゲーテッドコミュニティに住んでいる。
彼らはオンラインでささやかな収入を得ている小規模事業主のように見える。しかし、彼らはTheTruthSpyへのアクセスを販売することで巨額の収入を得ている。TheTruthSpyは、Copy9やMxSpyなどを含む、Android向けのいわゆる「ストーカーウェア」監視アプリのコレクションであり、世界中で数十万もの人々の携帯電話に侵入している。
ベンジャミン氏とダルセ氏は、携帯電話のスパイウェアを販売するアメリカ人の広範なネットワークの一員であり、その関与により、開発の背後にベトナムに拠点を置く新興企業「1Byte」があることを隠蔽するのに役立っている。
同じアプリを販売していることと、お互い近くに住んでいること(ありそうもない偶然のように思えます)以外、ベンジャミンさんとダルセさんには共通点は何もありません。ただ、1つ重要な点があります。それは、この2人の販売者は書類上だけの存在だということです。
長年にわたり、TheTruthSpyは1Byteに毎月数万ドルのPayPal取引をもたらしてきました。しかし、人気の高まりは新たな問題を引き起こしました。スパイウェアの販売は、特に米国において法的リスクと評判リスクを伴います。同社はTheTruthSpyの需要が高まっていると見ていました。PayPalのシステムは定期的に取引にフラグを付け、スパイウェアメーカーのアカウントと資金へのアクセスを制限していました。顧客はクレジットカードでの支払いも希望していましたが、そのためには膨大な申請書や書類に記入する必要があり、その過程では活動が明るみに出てしまう可能性がありました。
数百の漏洩文書に基づく TechCrunch の調査により、スパイウェア活動がどのようにして長期間にわたり検出を逃れてきたのか、これまで報じられていなかった詳細が明らかになった。
1Byteはベトナムのソフトウェアハウスを拠点に、偽造アメリカパスポートを持つ偽IDのネットワークを構築し、顧客からの支払いを自社が管理する銀行口座に現金化していた。これは完璧な計画に見えた。この米国進出により、同社は身元を秘密にしつつ、2016年以降少なくとも200万ドルの顧客からの入金を得ることができたのだ。そして、当局に摘発され、押収、あるいは閉鎖されたとしても、偽販売業者が責任を負わされることになる。(もっとも、彼らは架空の住所に住んでいると主張していたため、連邦政府が彼らを見つけるとは考えにくい。)
テッククランチイベント
サンフランシスコ | 2025年10月27日~29日
この計画は、組織犯罪グループやマネーロンダリング業者が不正口座を開設したり、偽造または盗難文書を使用して資金を移動したりするのを阻止するために設計された、個人の身元を確認するための「顧客確認」チェックなど、詐欺に対する技術および金融システムの安全対策に存在する脆弱性を悪用した。
昨年、TechCrunchはTheTruthSpyのサーバーから取得された膨大なファイルキャッシュを受け取りました。ファイルにはTheTruthSpyのマスターデータベースが含まれており、データベースが流出した日までの、過去および現在におけるすべての侵入対象デバイス(被害者数は約40万台)の記録が含まれていました。TechCrunchはこのデータを利用し、誰でも自分の携帯電話が侵入されたかどうかを確認できる無料の検索ツールを開発しました。
我々が目にした漏洩データは、1Byteの世界的な監視組織の内幕も明らかにしている。データは、ストーカーウェアを購入した個人を含む、1Byteの長年にわたる財務スプレッドシートと顧客取引履歴を露呈している。TechCrunchは、このスタートアップがクレジットカード決済会社に申し込む際に使用した、実在しない販売者の偽造個人情報が記入された紙の申込書を確認した。また、偽造された政府発行の身分証明書(パスポート、運転免許証、社会保障カード)や、10数人の偽造IDの公共料金請求書も確認した。
ストーカーウェアメーカーは、この複雑な偽の身元システムを通じて、顧客からの何百万ドルもの不正な支払いを自社の銀行口座に流し込んだ。
書類上は、ベンジャミンとダルセはごく普通のアメリカ人に見える。TechCrunchは、彼らの署名入りのパスポート、口座番号と電気料金が記載された公共料金の請求書、そして署名入りの社会保障カードのコピーの写真を入手した。
しかし、ざっと見ただけでは、売り手の身元は明らかになりません。ベンジャミンのパスポート写真はベトナム人写真家のウェブサイトからコピーされたものです。ドゥルセの運転免許証とパスポートの写真には、実在の人物の顔がかなりフォトショップで加工されて使われており、おそらく将来の顔認証によるチェックをすり抜けるためでしょう。さらに、ドゥルセの署名入り社会保障カードの番号は、1978年に亡くなった男性のものでした。
金儲けをする人々
ほぼ10年にわたり、ダルセ氏とベンジャミン氏は1Byteの最大の金儲けの担い手であり、このスパイウェア新興企業にちょっとした財産をもたらした。
創業当初、1ByteはTheTruthSpyを購入する顧客の支払い処理をPayPalに依存していました。顧客はスタートアップが運営する数多くのスパイウェアブランドのウェブサイトのチェックアウトを通じてソフトウェアを購入し、PayPalが残りの処理を担当していました。資金は、実際には1Byteの管理下にあったDulce氏とBenjamin氏の名前のPayPalアカウントに流れ込んでいました。
PayPalが発行した税務書類によると、ドゥルセのアカウントは2016年にTheTruthSpyをPayPal経由で販売しただけで23万9000ドル、2017年には88万6000ドルの利益を上げていた。一方、ベンジャミンは他のクローンストーカーウェアアプリ(Copy9とMxSpy)をPayPal経由で販売し、毎月コンスタントに数万ドルを稼いでいた。
決して小さな金額ではありませんでしたが、1Byte は PayPal に頼ることには限界があることを認識していました。
1Byteの従業員がアカウントを運営していた際に作成したメモ集(これも流出した)によると、このスパイウェア開発会社は、資金の流れを維持するために少なくとも数十のPayPalアカウントにアクセスしていたと主張していた。運営者は、PayPalの人間によるモデレーターの注意を引く可能性のある紛争を解決することと引き換えに、顧客に年間契約のサブスクリプションを提供していた。メモの1つは、PayPalの疑いを招かないようにするための様々な方法を概説したガイドとして機能していた。例えば、「資金をあまりにも速く移動させる」、「一度に多額の資金を受け取る」、「資金をより分散させるために複数の口座で受け取る」といった方法だ。
このプロセスは概ねうまく機能していました。しかし、事業者は増大する需要への対応に苦慮し、顧客のクレジットカードを大規模に処理する手段がありませんでした。
スパイウェアの開発と販売はリスクの高いビジネスです。1Byteが自社の運営する事業への関与を遠ざけようとしたのも無理はありません。クレジットカード会社は、責任を問われる可能性のある商品やサービスを顧客に購入させることに躊躇する傾向があります。ポルノ、麻薬、銃器と同様に、スパイウェアも同様にリスクの高いカテゴリーに分類されます。また、PayPalは、顧客が違法行為を助長するソフトウェアをプラットフォーム上で販売することをポリシーで広く禁止しているため、いつでもこの事業全体を摘発し、解明できた可能性があります。
流出したキャッシュから見つかった別のメモには、スタートアップの窮状が記されていました。このメモは、カリフォルニア在住のアメリカ人ビジネスマンを装い、1Byteとスパイウェア事業に深く関わっていると思われるジョンから送られたメールのコピーです。ダルセやベンジャミンと同様に、ジョンも1Byteのフロント企業として活動する偽の人物です。
メールの中で、ジョンはパートナー企業(1Byte)がウェブサイトを所有しており、顧客がカード決済を希望していると述べています。ジョンによると、これらのウェブサイトはこれまでPayPalを使って毎月数万ドルの決済を処理していたとのことです。ジョンは、クレジットカード決済を円滑に進めるための協力をしてくれる知り合いに、キックバックを提供しました。
その後まもなく、1Byteは顧客がクレジットカードで決済できる方法を見つけ、ビジネスは急成長しました。このスタートアップ企業には既に偽造IDの記録があり、ある程度の成功を収めていたのですから、なぜそれを再び活用しないのでしょうか?
2017年末から2018年初頭にかけて、このスパイウェアメーカーはPayPalから、ソフトウェア再販会社のような小規模な決済代行業者へと事業を拡大した。こうした業者は、よりリスクの高い製品を販売する顧客と提携し、その代わりに販売者に高い手数料を課すことで知られていた。(クレジットカード会社は、物理的に配送できるものよりもソフトウェアをリスクの高い製品と見なしている。これは、評判がほとんどないか全くない開発者による無形のデジタル製品を販売する性質のものだ。)監視ソフトウェアの販売は合法であるにもかかわらず、電話スパイウェアはバグが多いことで有名で、顧客からの苦情が絶えない。
成功は必ずしも長くは続かなかった。決済処理業者の中には、自社が販売するために利用されているソフトウェアの種類に気づいた者もいた。
漏洩したキャッシュから見つかった署名入り文書のコピーによると、1Byteは2018年1月、ヨーロッパの小規模決済代行業者と契約を締結する際に、Dulce氏の個人情報を利用していた。この決済代行業者はTechCrunchに対し、「顧客確認」を委託していた第三者機関が、Dulce氏の偽造文書に何ら警戒すべき点がなかったため、スパイウェア開発業者を承認したと述べた。
しかし、決済代行会社は新規アカウント登録のパターンを特定し、疑念を抱くようになりました。これを受け、同社はTheTruthSpyの金儲けの道具であるソックパペットをサービスから排除する前に、侵害アカウントを凍結しました。決済代行会社が公開した文書によると、凍結したアカウントは1Byteの従業員と取締役のヴァン・チュー氏が運営するベトナムの銀行口座にリンクされていました。
1Byteは、外部の決済サービスプロバイダーに継続的に依存できなくなったため、自社決済への依存度を高める努力を重ねました。同社は既に、Affiligateという独自の決済サービスウェブサイトを構築することで、事業拡大の基盤を築いていました。2020年までに、Affiligateは顧客決済の大部分を処理するようになりました。
1Byteは、アプリ開発者がソフトウェアを販売するための表向きのマーケットプレイスとしてAffiligateを設立しました。しかし、その裏では、Affiligateの販売者は主に1Byteの従業員がTheTruthSpyとその多数のクローンアプリを販売するために作成した偽のIDでした。従業員たちは自身の個人メールアドレスを使ってマーケットプレイスのアカウントも作成していましたが、おそらく、自ら構築したサイトのセキュリティの脆弱性を全く考慮していなかったのでしょう。なぜなら、これらのメールアドレスも漏洩していたからです。
Affiligateは、外部からは正規のソフトウェア再販マーケットプレイスのように見せかけながら、1Byteの多くのストーカーウェア製品の顧客からの支払いをAffiligateが管理するアカウントに送金できる、実質的なチェックアウトサービスとして機能していました。しかし、昨今の多くの企業と同様に、Affiligateも顧客のクレジットカード処理を外部企業に委託する必要がありました。
世界中の何百万もの中小企業と同様に、1Byteも創業当初から顧客決済の大部分を決済大手Stripeに依存してきました。この事業は、本記事を執筆した現在も続いています。Stripeは、わずか数行のコードで企業が同社の決済テクノロジーを統合できることで知られており、これがStripeを世界最大かつ広く普及しているグローバル決済処理業者の一つへと押し上げ、時価総額はピーク時に950億ドルに達しました。
1Byte はアカウントを設定し、Stripe のチェックアウト コードを統合することで、大規模なクレジットカード処理を実現しました。
1Byteは多くの欠陥を抱えていたにもかかわらず、記録管理には熱心に取り組んでおり、顧客との詳細な取引ログを保管していました。漏洩したログには、2017年9月から2022年11月までの顧客取引が合計55,000件以上記録されており、スパイウェアの売上は200万ドル以上に上ります。TheTruthSpyは1Byteの売上高のほぼ90%を占める圧倒的な売上を記録しており、Copy9とMxSpyがそれに続いています。
ログによると、スパイウェア活動における取引の大部分はStripeが処理していた。ログには、顧客が支払い後にオンラインで領収書を閲覧するためのウェブアドレスも含まれていた。これらの領収書は、ウェブアドレスを知っている人なら誰でもStripeのウェブサイトで現在も閲覧可能だ。PayPalなどの小規模な決済処理業者は、残りの取引の一部を処理していたことがログから明らかになった。
Stripeにコメントを求めた直後、Affiligateの顧客チェックアウト機能は停止しました。Stripeは社内規定を理由に、特定のアカウントに関するコメントを拒否しました。
PayPalは声明で、「当社は、ポリシーに違反する行為を定期的に評価し、報告された行為を慎重に検討しています。ポリシーに違反していることが判明したアカウント保有者との関係は停止いたします。プライバシー保護のため、特定のアカウントについてコメントすることはできません。」と述べています。
アメリカ人
ドゥルセとベンジャミンは、1Byte の身元調査書に載っている、長年にわたりこの作戦を支えてきた多くの偽のアメリカ人ペルソナのうちの 2 人にすぎません。カリフォルニアのジョン、ニューヨークのアレックス、ロサンゼルスのブライアン、そしてドゥルセと同じ姓を持ち、偽造文書にはフォートワース近郊の住所が記載されているものの実際には存在しないアンジェリカです。
1Byteは偽造パスポートと運転免許証を使用し、公共料金の請求書など、米国居住証明書も偽造しました。また、このスパイウェアメーカーは、販売業者のアカウント開設専用の特定用途向けメールアドレスを作成し、使い捨ての米国電話番号も設定しました。これにより、1Byteは米国企業を騙して、本物の米国人と取引していると思い込ませることができました。
米国のパスポート、運転免許証、州の身分証明書、偽造された英国の運転免許証など、その他の身分証明書が偽造されたものであることが判明したのは、1Byte が原本のコピーと、同様の個人情報が記載されているが全く別の人物の写真が使われている偽造レプリカを保管していたためである。
銀行、クレジットカード会社、ソフトウェア再販業者、決済事業者は、顧客に対しデューデリジェンスを実施し、自社ネットワーク上でのなりすましやマネーロンダリングを排除する責任を負っています。しかし、人間を騙すほど巧妙な偽造は、依然として見破られてしまう可能性があります。
しかし、1Byteの対応にもずさんさがあった。偽造された身元に割り当てられた社会保障番号のうち、少なくとも2つは故人のものだった。2枚の社会保障カードは番号的には連続しているように見えるが、どちらも社会保障死亡者リスト(2014年初頭まで米国政府に死亡が報告されていた社会保障番号の市販リスト)に掲載されている。社会保障局は、死亡後に社会保障番号を再利用することはしない。
その他の書類の中には、公共料金の請求書の中に実在しない住所が記載されているものもありました。また、偽造された政府文書の中には、小さいながらも目立つ誤植がいくつかありました。
また、1Byte の従業員が、従業員のミスにより作成した Dulce や Benjamin などの偽造 ID の名前を使用して、販売業者や支払い処理業者との契約のいくつかに署名していたこともわかっています。
従業員は、署名、写真撮影、提出した契約書に、写真が撮影された正確な場所とタイムスタンプを示す隠されたメタデータが含まれていたことに気づいていなかった可能性があります。メタデータによると、契約書はベトナムにある1Byteの拠点で署名され、撮影されたことが示されていました。
もう1枚の写真には、1Byteのディレクターであるヴァン・チューのベトナム人身分証明書が写っており、ベトナムの同じ場所で撮影されたことを示す同様のメタデータが含まれていた。
コメントを求められたティエウ氏は、過去にこの作戦に関わっていたことを認めたものの、「スパイウェアは一部の国では違法であることを知っているため」、もはや関与していないと述べた。ティエウ氏は、2016年以降のこの作戦への関与や、個人情報が漏洩した経緯については言及しなかった。その後まもなく、TheTruthSpyのウェブサイトには、顧客受け入れを停止した旨の通知が掲載された。「この種の製品はほとんどの国で許可されていないため、今後この製品の販売を中止することにしました」
ハンドラー
この新興企業の執拗な文書作成と綿密なメモ取りには、1枚のスプレッドシートも含まれていた。それは、この作戦に実際に関与する人物と、彼らが操る偽の身元の両方を網羅したマスターリストだった。
彼らが実在の人物だと分かるのは、インターネットから写真が抜き取られ、時には加工されたドゥルセとベンジャミンとは異なり、実在のハンドラーたちはパスポートを顔にかざした写真が写っているからだ。これは、人間の認証者が書類の真贋を判断する際によく用いられる「本人確認」の手順で、こうした写真は偽造が一般的に困難であるためだ。写真の1枚には、ハンドラーの年配の親戚が、同じ姓のパスポートをかざしている姿が写っている。
1Byteのサーバーにパスポートが保管されていた別のハンドラーは、YouTubeチャンネルを運営しており、TheTruthSpyを含む様々なストーカーウェアアプリをレビューする動画を投稿しています。このハンドラーが公開したスパイウェアの機能を実演する動画の一つでは、自身のスマートフォンに位置情報取得アプリをインストールした後、誤って自宅住所が公開されてしまいました。
1Byte の不十分なセキュリティ対策と漏洩しやすいサーバーにより、この作戦における同社の役割が暴露された。
しかし、1Byteのセキュリティ上の不備はこれだけではありませんでした。2020年8月にTheTruthSpyのサーバーに残された身代金要求のメモは、スパイウェアの活動がランサムウェア攻撃によって侵害されたことを示唆しています。誰かがスパイウェアメーカーのサーバーにアクセスしたか、あるいはさらに悪いことに、膨大な量の電話データのコピーを盗み出したかのどちらかです。
1Byteが携帯電話スパイウェアの販売で巨額の利益を上げたのは、偽造IDの記録や、偽造文書を見抜けなかった金融システムの欠陥、あるいは資金の流れを操る仲介者の存在だけによるものではない。TheTruthSpyは、米国当局の目が届かないサーバー上で、長年にわたり妨害されることなく活動を続けてきた。
偶然か都合かは不明だが、スパイウェア製造業者がダルセとベンジャミンをテキサスに住んでいるかのように操作していたのと同様に、1Byte もまた、数十テラバイトの電話データ(その多くはアメリカ人被害者から取得したもの)をテキサスのウェブ ホスティング データ センターにホストしていた。
Coderoというウェブホストは、2017年まで遡ってTheTruthSpyのインフラと膨大なデータバンクを収容していました。Coderoは2023年2月までTheTruthSpyを有料顧客として維持していましたが、その後、CoderoはTheTruthSpyを自社ネットワークから、そしてしばらくの間インターネットから排除しました。Coderoの幹部は後にTechCrunchに対し、利用規約違反を理由にTheTruthSpyをサービス停止に追い込んだものの、連邦捜査が進行中であることを理由に、スパイウェアメーカーを早期に削除することを禁じられたと述べました。
1Byteは、復旧に使えるバックアップからオンラインに復帰すべく奔走し、近隣にデータセンターを持つ別のウェブホスティング会社Hostwindsに拠点を移しました。その時点で、Coderoの幹部はHostwindsのCEO、ピーター・ホールデン氏にメールを送り、「悪質な人物」が彼のネットワークに移動したと警告しました。TechCrunchの取材に対し、ホールデン氏はHostwindsが彼らの活動を把握した時点でクライアントを切断したと述べました。
—
ストーカーウェアや携帯電話スパイウェアは、バグだらけで悪名高い。TheTruthSpyは、ストーカーウェアファミリー全体の中でも、近年ハッキング、流出、あるいは収集した大量の携帯電話データの不正利用に遭った数多くのスパイウェアアプリの一つに過ぎない。しかし、TheTruthSpyは隠れ場所を見つけ出し、自由に活動を続けられる能力を持っていたため、侵入した携帯電話を基盤とした最大規模の秘密ネットワークの一つとして知られている。
セキュリティ研究者のヴァンゲリス・スティカス氏とフェリペ・ソルフェリーニ氏は、BSides Londonで複数のストーカーウェアネットワークに関する研究発表を行ったが、2022年12月の講演時点でもTheTruthSpyが依然として数十万のアクティブアカウントを公開していることを発見した。スティカス氏とソルフェリーニ氏の研究(一部は未発表でTechCrunchと共有され、本記事の取材に極めて重要な役割を果たした)では、TheTruthSpyストーカーウェアネットワークの最終的な開発元および再販業者である1Byteが資金を搾取していることが確認された。
スパイウェアの所持自体は違法ではありませんが、本人の同意なしに通話やプライベートな会話を録音するために使用することは、連邦法および複数の州法に違反します。米国連邦および州当局は近年、悪名高いストーカーウェアアプリ「SpyFone」の禁止や、スパイウェア作成者に被害者への通知を命じるなど、ストーカーウェアの運営者に対する執行措置を強化していますが、海外の運営者は米国の法執行機関の管轄外に置かれているのが現状です。
記事の発表前に連絡を取ったところ、連邦取引委員会は、特定の問題を調査しているかどうかについてはコメントしないと述べた。
しかし、TheTruthSpyがインターネット上に存在している限り、スパイウェアアプリに侵入された被害者にとって、現実的かつ継続的な脅威となり続ける。それは、何千もの被害者の携帯電話から本人の知らないうちにデータを収集しているというだけでなく、そのデータが悪者の手に渡るのを防げないという点にも起因する。
無料の検索ツールを使えば、お使いの携帯電話がTheTruthSpyに感染しているかどうかを確認できます。また、安全だと確信できる場合は、携帯電話からスパイウェアを削除する方法もご案内しています。ただし、スパイウェアを削除すると、スパイウェアを仕掛けた人物に警告が届く可能性があることにご注意ください。
