連邦取引委員会によって禁止されてから1年後、悪名高い電話監視会社が名ばかりの状態で復活したことが、TechCrunchの調査で明らかになった。
2021年、FTC(連邦取引委員会)は画期的な命令を発令し、ストーカーウェアアプリ「SpyFone」とその親会社「Support King」、そして最高経営責任者(CEO)のスコット・ザッカーマン氏を監視業界から締め出しました。この命令は、FTCの現職委員5名によって全会一致で承認され、Support Kingに対し、違法に収集した電話データを削除し、被害者にアプリが密かにデバイスにインストールされたことを通知するよう要求しました。
ストーカーウェア、または配偶者ウェアは、人の携帯電話に物理的にアクセスできる誰かが、家族の追跡や子供の監視を装って密かに仕掛けるアプリです。ただし、これらのアプリはホーム画面から隠れた状態になるように設計されており、その間、テキスト メッセージ、写真、閲覧履歴、詳細な位置情報データなど、人の携帯電話のコンテンツを密かにアップロードします。
しかし、KidsGuard、TheTruthSpy、Xnspyなどの多くのストーカーウェアアプリにはセキュリティ上の欠陥があり、何千人もの個人の電話データがさらに漏洩する危険にさらされている。
これにはSpyFoneも含まれる。同社の安全対策が施されていないクラウドストレージサーバーは、2,000台を超える被害者の携帯電話から盗まれた個人データを流出させたため、FTCは調査を行い、その後Support KingとそのCEOであるZuckermanに対し、監視アプリの提供、配布、宣伝、販売支援を禁止した。
それ以来、TechCrunchは、Support Kingと関係のある開発者が運営するSpyTracというストーカーウェアアプリの内部サーバーからのものも含め、さらに多くのデータを受け取っている。
アズテックラボについて
100万人以上のユーザー記録を持つSpyTracは、活動中のAndroidストーカーウェアの中でも最大規模とされており、TheTruthSpyの被害者数を3倍以上上回っています。世界中に広く浸透しているにもかかわらず、SpyTracのウェブサイトにアクセスした米国人は、「お住まいの国はサポートされていません」という突然のメッセージが表示され、アクセスをブロックされてしまいます。
テッククランチイベント
サンフランシスコ | 2025年10月27日~29日
しかし、SpyTracは他のストーカーウェアアプリと同様、被害者のデバイスに潜伏する機能も備えています。また、SpyTracのウェブサイトでは、この活動を行っている個人については一切言及されていません。これは、ストーカーウェア活動に伴う法的リスクや評判リスクから開発者を守るためだと考えられます。
TechCrunchが確認したデータやその他の公開記録によると、SpyTracはSupport Kingと、SpyTracストーカーウェアの開発・保守を担当するAztec Labsという開発チームの両方に所属する開発者によって管理されています。Aztec Labsは、SpyTracとほぼ同一のスペイン語ストーカーウェアアプリ「Espía Móvil」(「スパイモバイル」の意)と、クローン版ストーカーウェアアプリ「StealthX Pro」も管理していることがデータから明らかになっています。
SpyTrac のサーバーで見つかったデータの一部は、SpyTrac を Support King に直接接続します。
サーバーファイルの1つには、Support KingおよびGovAssist(移民の米国ビザおよび永住権取得を支援すると謳うウェブサイト)に関連するクラウドストレージへのアクセスを許可するAmazon Web Servicesの秘密鍵セットが含まれていました。この鍵は、SpyFoneと同時にSupport Kingが閉鎖したクローンストーカーウェアアプリ「OneClickMonitor」のクラウドストレージへのアクセスも許可していました。
Support KingとGovAssistはともに最高経営責任者(CEO)のスコット・ザッカーマン氏が率いています。
メールで連絡を取ったザッカーマン氏は、TechCrunchに対し次のように述べた。「SpyTracの内部データに、Support King、GovAssist、OneClickMonitorに関連するS3バケットに紐付けられている可能性のあるAWSキーが保存されていたという主張について、現在調査中です。この件を非常に深刻に受け止め、FTC命令の全条項を遵守いたします。」
TechCrunchが確認したアクセスログには、少なくとも2人のAztec Labs開発者が異なる認証情報を使用してSpyTracのサーバーにログインしていたことが示されていますが、それぞれ同じIPアドレスからログインしていました。両開発者は、Aztec Labs、SpyTrac、Support Kingのメールアドレスに関連付けられた認証情報を使用して、ボスニアの住宅用ブロードバンドプロバイダーに登録されたIPアドレスからログインしていました。
開発者の一人はAztec Labsのテクニカルリードで、LinkedInによるとサラエボを拠点としている。彼が公開している他のフリーランスのポートフォリオには、Support Kingのプログラムマネージャーとしての経歴が記載されており、彼はその役割を「ITチーム全体の管理」と表現している。
LinkedIn のプロフィールやその他の仕事のポートフォリオによると、この技術リーダーと他の SpyTrac 開発者は、ザッカーマン氏の最新のベンチャーである GovAssist にも携わっている。
アクセス ログには、Support King、Aztec Labs、GovAssist の電子メール アドレスに関連付けられた異なる資格情報セットを使用して、サラエボの自宅 IP アドレスから SpyTrac のサーバーにログインした 3 人目の開発者も示されています。
これに対し、ザッカーマン氏はTechCrunchに対し次のように述べた。「私も私の事業も、Aztec Labs、SpyTrac、そして2019年6月から2021年10月までSupport Kingの独立請負業者として働いていた[技術リーダー]とは一切関係がありません。また、SpyTracのサーバーにもアクセスできません。」
SpyFone接続
2021年9月にFTCによって禁止されたストーカーウェアアプリ「SpyFone」は、もう動作しません。
我々が確認したSpyTracの内部データによると、SpyFoneはFTCによる禁止措置のわずか数日前に最後の顧客ライセンスを発行していた。SpyFoneのドメイン名は、別の携帯電話監視メーカーであるSpyPhoneに売却された。被害者の盗難データにアクセスするために使用されていたSpyFoneのウェブダッシュボードにログインしようとした顧客は、SpyPhoneのウェブサイトにリダイレクトされた。
FTCの2021年の命令では、Support Kingに対し、SpyFoneから違法に収集したデータを削除することも要求されました。しかし、TechCrunchが確認したSpyTracの内部データには、購入顧客のメールアドレスに割り当てられたSpyFoneライセンスに関連する数千件の記録が依然として含まれています。
データによれば、すべてのSpyFoneライセンスはSupport Kingの電子メールアドレスを持つ再販業者によって販売されていた。
SpyTracは、セキュリティ研究者のヴァンゲリス・スティカス氏とフェリペ・ソルフェリーニ氏からも注目を集めました。彼らは数ヶ月にわたる調査で、SpyTracを含む複数のストーカーウェアファミリーに共通する、かつ容易に発見できるセキュリティ上の欠陥を特定しました。今月ロンドンで開催されたBSidesで発表された彼らの調査結果には、アプリを逆コンパイルし、公開インターネットデータを用いてサーバーインフラをマッピングするという手法が盛り込まれています。彼らの証拠は、SpyTracとSupport Kingとの関連性を示唆しています。
ザッカーマン氏はこれに対し、「サポートキングはFTCの命令に従い、SpyFoneとOneClickMonitorの顧客に関連するサーバー上のすべてのデータを削除した」と述べた。
TechCrunchがザッカーマン氏にコメントを求めてから間もなく、SpyTracのウェブサイトはオフラインになり、「製品は一時的にご利用いただけません」というメッセージが表示されました。SpyTracのクローンストーカーウェアアプリであるStealthX Proとそのスペイン語版クローンであるEspía Móvilのウェブサイトもオフラインになりました。Aztec Labsのウェブサイトも読み込み不能になりました。
TechCrunchがこの記事を公開した後、Support Kingのウェブサイトもオフラインになった。
ストーカーウェアへの対策は困難です。これらの活動は意図的に秘密裏に行われるため、規制当局が調査したり、管轄権の有無を把握したりすることが困難です。
2020年、FTCはストーカーウェア運営会社Retina-Xに対して初の措置を講じました。Retina-Xは複数回のハッキングを受け、後に閉鎖されました。FTCによる2度目の措置は、1年後にSupport Kingに対して実施されました。
FTCの命令に違反した企業は、多額の民事罰を科せられる可能性があります。今年初め、Twitterは2011年のFTCの命令に違反したとして1億5000万ドルの支払いを命じられました。
ストーカーウェアやその他の商業監視対策の多くは、ストーカーウェアアプリを禁止したデバイスメーカーのAppleやGoogleなどのテクノロジー業界によって担われてきました。2020年には、Googleも検索結果でストーカーウェアを宣伝する広告を禁止しました。ストーカーウェアの被害者や生存者を支援するために2019年に設立された「ストーカーウェア対策連合(Coalition Against Stalkerware)」に加盟するマルウェア対策プロバイダーは、既知のストーカーウェアアプリやネットワークのシグネチャを共同で共有し、顧客のスマートフォン上でそれらが動作しないようにブロックしています。
記事の公開前に調査結果を精査した元FTC弁護士は、TechCrunchに対し、証拠はFTCの禁止措置に違反した可能性が高いことを示唆していると述べた。Support KingがFTCとの合意に違反したかどうかについては、最終的にはFTCが判断することになる。
FTCの広報担当者は、コメントを控えた。
ご自身またはお知り合いの方が助けを必要としている場合は、全米家庭内暴力ホットライン(1-800-799-7233)が、家庭内暴力や暴力の被害者に対し、24時間365日、無料、秘密厳守のサポートを提供しています。緊急の場合は、911番に電話してください。また、スパイウェアに感染したと思われる場合は、Coalition Against Stalkerwareもリソースを提供しています。このレポーターへの連絡は、SignalまたはWhatsApp(+1 646-755-8849)またはメール([email protected])で受け付けています。
続きを読む:
- Xnspyストーカーウェアが数千台のiPhoneとAndroidデバイスをスパイ
- ストーカーウェアアプリ「KidsGuard」が数千人の被害者の電話データを漏洩
- 数千人をスパイするストーカーウェアネットワーク「TheTruthSpy」の内部
- TheTruthSpyが暴露:Androidデバイスが侵害されたか確認しましょう
- Androidスマートフォンにストーカーウェアが潜んでいる可能性があります。削除方法はこちらです。
FTCはスパイウェアメーカーSpyFoneを禁止し、ハッキングされた被害者に通知するよう命じた
