漏洩した大量のデータにより、アメリカ人を含む世界中の何十万人もの人々をスパイしているストーカーウェア活動の内部の仕組みが明らかになった。
漏洩したデータには、TheTruthSpy、Copy9、MxSpyなど、ほぼ同一のストーカーウェアアプリ群によってAndroidスマートフォンやタブレットが侵害された、疑いを持たない被害者の通話記録、テキストメッセージ、詳細な位置情報、その他の個人デバイスデータが含まれています。
これらの Android アプリは、ユーザーのデバイスに物理的にアクセスできる何者かによって埋め込まれ、ホーム画面に隠れた状態で表示されるように設計されていますが、所有者の知らないうちに電話のコンテンツを継続的かつ静かにアップロードします。
スパイウェア検索ツール
Android スマートフォンまたはタブレットが侵害されたかどうかを確認するには、こちらをクリックしてください。
ストーカーウェア活動の実態を暴く調査結果を公表してから数ヶ月後、ある情報筋からTechCrunchに、ストーカーウェアのサーバーからダンプされた数十ギガバイトのデータが提供されました。このキャッシュには、ストーカーウェア活動の中核となるデータベースが含まれており、2019年初頭以降にTheTruthSpyのネットワーク内のストーカーウェアアプリによって侵害されたすべてのAndroidデバイスの詳細な記録(一部はそれ以前の日付のものも含む)と、盗まれたデバイスデータが含まれています。
被害者は自分のデバイスデータが盗まれたことに気づいていなかったため、TechCrunchは漏洩したデータベースからすべての固有のデバイス識別子を抽出し、データがダンプされた2022年4月までに自分のデバイスがストーカーウェアアプリによって侵害されたかどうかを誰でも確認できる検索ツールを構築しました。
TechCrunchはその後、データベースの残りの部分を分析しました。地理空間分析用のマッピングソフトウェアを用いて、データベースから数十万の位置データポイントをプロットし、その規模を把握しました。分析の結果、TheTruthSpyのネットワークは巨大で、ほぼすべての大陸と国に被害者がいることが分かりました。しかし、TheTruthSpyのようなストーカーウェアは法的にグレーゾーンで運営されており、被害者への脅威が増大しているにもかかわらず、世界中の当局にとって対策が困難です。
まず、データについて少し説明します。データベースは約34ギガバイトで、日時などのメタデータに加え、通話履歴、テキストメッセージ、位置情報といったテキストベースのコンテンツ、さらにはデバイスが接続したWi-Fiネットワーク名や、パスワードや2要素認証コードなど、携帯電話のクリップボードからコピー&ペーストされた情報も含まれています。データベースには、被害者のデバイスから取得されたメディア、画像、動画、通話録音は含まれていませんでしたが、写真や動画が撮影された日時、通話が録音された日時と時間など、各ファイルに関する情報が記録されていました。これにより、被害者のデバイスからどれだけのコンテンツがいつ流出したかを特定できました。侵害されたデバイスはそれぞれ、侵害されていた期間と利用可能なネットワーク範囲に応じて、アップロードされたデータ量が異なっていました。
テッククランチイベント
サンフランシスコ | 2025年10月27日~29日
TechCrunchは、2022年3月4日から4月14日まで、つまり漏洩当時データベースに保存されていた直近6週間分のデータを調査しました。TheTruthSpyのサーバーは、通話記録や位置情報など一部のデータは数週間しか保存していない可能性がありますが、写真やテキストメッセージなどの他のコンテンツはより長期間保存されている可能性があります。
これが私たちが見つけたものです。
このデータベースには、携帯電話のIMEI番号やタブレットの広告IDなど、約36万件の固有デバイス識別子が登録されています。この数字は、これまでにこの作戦によって侵害されたデバイスの数と、影響を受けた人の数を表しています。また、このデータベースには、TheTruthSpyやそのクローンストーカーウェアアプリのいずれかに登録し、被害者のデバイスに侵入する目的で登録したすべてのユーザーのメールアドレス(約33万7000人)も含まれています。これは、一部のデバイスが複数回侵害されている(またはストーカーウェアネットワーク内の別のアプリによって侵害されている)可能性があり、また、複数のデバイスを侵害されているユーザーもいるためです。
当社の分析によると、6 週間の間に約 9,400 台の新しいデバイスが侵害され、毎日数百台の新しいデバイスが侵害されたことになります。
このデータベースには、同じ6週間の期間に608,966個の位置情報データが保存されていました。私たちはこれらのデータをプロットし、タイムラプス動画を作成しました。これは、既知の侵入済みデバイスの世界的な累計拡散を示すものです。これは、TheTruthSpyの活動がいかに広範囲に及んでいるかを把握するためです。アニメーションは個人のプライバシー保護のため世界規模にズームアウトしていますが、データは非常に細かく、交通ハブ、礼拝所、その他の機密性の高い場所にいる被害者を示しています。
内訳を見ると、米国は6週間の期間において、位置データポイント数(278,861)で他国よりも多く、第1位となった。インドは第2位(77,425)、インドネシアは第3位(42,701)、アルゼンチンは第4位(19,015)、英国は第5位(12,801)となった。
カナダ、ネパール、イスラエル、ガーナ、タンザニアも、位置データの量で上位10カ国に含まれていました。
データベースには、受信者の連絡先名を含む合計 120 万件のテキスト メッセージと、6 週間の期間中の 442 万件の通話記録 (誰が誰にどのくらい電話をかけたか、連絡先の名前と電話番号の詳細な記録を含む) が含まれていました。
TechCrunchは、子供の携帯電話からデータが収集された可能性が高いという証拠を確認した。
データによると、これらのストーカーウェアアプリは6週間に数千件の通話内容も録音していた。データベースには、別のTheTruthSpyサーバーに保存されている通話録音ファイル179,055件が含まれている。私たちの分析では、通話録音の日時と記録を、データベース内の別の場所に保存されている位置情報と関連付け、通話が録音された場所を特定した。私たちは、通話録音に関するより厳しい法律を持つ米国の州に焦点を当てた。これらの州では、通話の録音に複数の人物(または全員)が同意しなければ、州の盗聴法に抵触する。ほとんどの米国の州では、少なくとも1人の人物が録音に同意することを要求する法律があるが、ストーカーウェアは本質的に、被害者が全く知らないうちに機能するように設計されている。
11州で164台の侵入されたデバイスが、6週間にわたり、デバイス所有者の知らないうちに数千件の通話を記録していたという証拠を発見しました。これらのデバイスのほとんどは、カリフォルニア州やイリノイ州といった人口密度の高い州に設置されていました。
データベースには、6週間の間に侵入された携帯電話からアップロードされた写真と動画の記録473,211件が含まれていました。スクリーンショット、メッセージアプリから受信してカメラロールに保存された写真、ファイル名など、ファイルに関する情報が明らかになる情報が含まれています。また、キーロガーと呼ばれる、ユーザーのキーボードから抜き出されたデータの記録454,641件も含まれていました。これには、パスワードマネージャーなどのアプリから貼り付けられた機密性の高い認証情報やコードが含まれていました。さらに、ホテル、職場、アパート、空港など、推測しやすい場所のWi-Fiネットワーク名など、各デバイスが接続したネットワークの記録231,550件も含まれています。
TheTruthSpy の活動は、セキュリティ上の欠陥により被害者のデータを漏洩し、その後侵入につながるストーカーウェア アプリの長い一連の活動の中で最新のものである。
ストーカーウェアアプリの所持自体は違法ではありませんが、本人の同意なしに通話やプライベートな会話を録音するために使用することは、連邦盗聴法および多くの州法で違法です。プライベートなメッセージを録音することのみを理由に電話監視アプリを販売することは違法ですが、多くのストーカーウェアアプリは児童監視ソフトウェアを装って販売されており、配偶者や同性パートナーの携帯電話を盗聴するために悪用されることがよくあります。
ストーカーウェア対策の多くは、サイバーセキュリティ企業やウイルス対策ベンダーが主導しており、ユーザーのデバイスから不要なマルウェアをブロックすることに取り組んでいます。2019年に設立された「ストーカーウェア対策連合(Coalition Against Stalkerware)」は、既知のストーカーウェアに関するリソースやサンプルを共有することで、新たな脅威に関する情報を他のサイバーセキュリティ企業と共有し、デバイスレベルで自動的にブロックできるようにしています。同連合のウェブサイトでは、テクノロジー企業がストーカーウェアを検知・ブロックするためにできることについて、さらに詳しい情報を提供しています。
しかし、Retina XやSpyFoneなど、ストーカーウェア運営者のほんの一握りだけが、広範囲の監視を可能にしたとして連邦取引委員会(FTC)などの連邦規制当局から罰則を受けている。FTCは、サイバーセキュリティの不十分な実践や、規制の管轄範囲内にあるデータ侵害を理由に、新たな法的アプローチを使って告訴を行っている。
記事掲載前にTechCrunchがコメントを求めたところ、FTCの広報担当者は、FTCが特定の問題を調査しているかどうかについてはコメントしないと述べた。
ご自身またはお知り合いの方が助けを必要としている場合は、全米家庭内暴力ホットライン(1-800-799-7233)が、家庭内暴力や暴力の被害者に対し、24時間365日、無料、秘密厳守のサポートを提供しています。緊急の場合は、911番に電話してください。また、スパイウェアに感染したと思われる場合は、Coalition Against Stalkerwareもリソースを提供しています。このレポーターへの連絡は、SignalまたはWhatsApp(+1 646-755-8849)またはメール([email protected])で受け付けています。
