新たなデータによると、「Spyhide」と呼ばれる電話監視アプリが、世界中の何万台もの Android デバイスから個人の電話データを密かに収集しているという。
Spyhideは、広く使用されているストーカーウェア(または配偶者ウェア)アプリで、多くの場合、パスコードを知っている人物によって被害者の携帯電話に埋め込まれます。このアプリは被害者の携帯電話のホーム画面に隠れて表示されるように設計されており、検出と削除が困難です。一度埋め込まれると、Spyhideは携帯電話の連絡先、メッセージ、写真、通話履歴と録音、そして詳細な位置情報を、密かに継続的にリアルタイムでアップロードします。
ストーカーウェアアプリは、ステルス性と被害者の電話データへの広範なアクセスにもかかわらず、バグが多いことで有名で、被害者の盗まれた個人データを流出させたり、漏洩させたり、あるいはその他の方法でさらなる露出の危険にさらすことが知られており、電話監視アプリがもたらすリスクの根底にあります。
現在、Spyhide は、その増え続けるリストに追加された最新のスパイウェア操作です。
スイスを拠点とするハッカー「maia arson crimew」はブログ投稿で、スパイウェア開発会社が開発環境の一部を公開し、盗まれた被害者の電話データを閲覧するために悪用されるウェブベースのダッシュボードのソースコードにアクセスできるようにしたと述べています。ダッシュボードの粗雑なコードの脆弱性を悪用することで、crimewはバックエンドデータベースへのアクセスを獲得し、秘密裏に運営されているスパイウェア活動の内部構造と、その管理者とみられる人物を暴露しました。
Crimew は検証と分析のために、Spyhide のテキストのみのデータベースのコピーを TechCrunch に提供した。
盗まれた携帯電話データ数年分
Spyhideのデータベースには、2016年から7月中旬の流出日まで遡って、約6万台の侵入されたAndroidデバイスの詳細な記録が含まれていました。これらの記録には、通話記録、テキストメッセージ、数年にわたる正確な位置情報履歴に加え、写真や動画の撮影日時とアップロード日時、通話録音日時と録音時間といった各ファイルに関する情報が含まれていました。
テッククランチイベント
サンフランシスコ | 2025年10月27日~29日
TechCrunch は、オフラインの地理空間およびマッピング ソフトウェアに 200 万近くの位置データ ポイントを入力し、スパイウェアの世界的な影響範囲を視覚化して理解できるようにしました。
私たちの分析によると、Spyhideの監視ネットワークは全大陸に広がっており、ヨーロッパとブラジルには数千もの被害者が集中しています。米国では3,100台以上の侵害デバイスが存在しますが、これは世界全体のほんの一部に過ぎません。しかし、位置情報データの量だけでも、これらの米国の被害者は依然としてネットワーク上で最も監視されている被害者の一部です。Spyhideに侵害されたある米国のデバイスは、10万件以上の位置情報データを密かにアップロードしていました。
Spyhideのデータベースには、被害者のデバイスにスパイウェアアプリを埋め込む目的でSpyhideに登録した75万人のユーザーに関する記録も含まれていた。
ユーザー数の多さは監視アプリの使用に対する不健全な欲求を示唆しているが、登録したユーザーのほとんどは携帯電話を侵害したり、スパイウェアにお金を払ったりしなかったことが記録からわかる。
とはいえ、侵害されたAndroidデバイスのほとんどは単一のユーザーによって制御されていましたが、私たちの分析によると、4,000人以上のユーザーが複数の侵害されたデバイスを制御していたことが明らかになりました。また、少数のユーザーアカウントが数十台の侵害されたデバイスを制御していたことも判明しました。
データには、2段階認証コードやパスワードリセットリンクといった個人情報を含む329万件のテキストメッセージ、受信者の電話番号と通話時間を含む120万件以上の通話記録、約31万2000件の通話録音ファイル、氏名と電話番号を含む92万5000件以上の連絡先リスト、そして38万2000枚の写真と画像の記録が含まれていました。さらに、被害者の携帯電話のマイクから密かに録音された約6000件の環境音の詳細も含まれていました。
イラン製、ドイツでホスト
Spyhideのウェブサイトでは、誰が運営しているのか、どこで開発されたのかは一切言及されていません。スパイウェアの販売や他者の監視を容易にすることに伴う法的リスクや評判リスクを考えると、スパイウェア管理者が身元を隠そうとするのは珍しいことではありません。
Spyhideは管理者の関与を隠そうとしたが、ソースコードには、この活動から利益を得ているイラン人開発者2名の名前が含まれていた。開発者の1人であるMostafa M.は、LinkedInのプロフィールによると現在ドバイに居住しているが、Spyhideのドメインに関連する登録記録によると、以前はもう1人の開発者であるMohammad A.と同じイラン北東部の都市に住んでいた。
開発者らはコメントを求める数通の電子メールに返答しなかった。
Spyhideのようなストーカーウェアアプリは、配偶者の秘密の監視を明示的に宣伝・推奨しているため、Googleアプリストアから禁止されています。代わりに、ユーザーはSpyhideのウェブサイトからスパイウェアアプリをダウンロードする必要があります。
TechCrunchは、このスパイウェアアプリを仮想デバイスにインストールし、ネットワークトラフィック分析ツールを使用して、デバイスに出入りするデータを把握しました。この仮想デバイスでは、位置情報などの実際のデータを一切入力することなく、保護されたサンドボックス内でアプリを実行できました。トラフィック分析の結果、アプリが仮想デバイスのデータをドイツのウェブホスティング大手Hetznerがホストするサーバーに送信していることが判明しました。
コメントを求められたヘッツナー社の広報担当者クリスチャン・フィッツ氏は、TechCrunchに対し、同社のウェブホストはスパイウェアのホスティングを許可していないと述べた。本記事の公開後数日で、Spyhideのドメインはアクセス不能となった。
あなたにできること
Androidスパイウェアアプリは、一見普通のAndroidアプリやプロセスを装っていることが多いため、見つけるのが難しい場合があります。Spyhideは、歯車アイコンが特徴的な「Google設定」というGoogleテーマのアプリ、または音符アイコンが特徴的な「T.Ringtone」という着信音アプリを装います。どちらのアプリもデバイスのデータへのアクセス許可を要求し、すぐにサーバーへの個人データの送信を開始します。
アプリがホーム画面に隠れている場合でも、設定のアプリ メニューからインストールされているアプリを確認できます。
Androidスパイウェアの削除に役立つ一般的なガイドをご用意しています(安全であれば)。スパイウェアをオフにすると、スパイウェアを仕掛けた人物に警告が届く可能性があることにご注意ください。
Google Play プロテクトをオンにすると、スパイウェアなどの悪意のあるAndroidアプリから保護する便利な保護機能になります。Google Playの設定メニューから有効にできます。
ご自身またはお知り合いの方が助けを必要としている場合は、全米家庭内暴力ホットライン(1-800-799-7233)が、家庭内暴力や暴力の被害者に対し、24時間365日、無料、秘密厳守のサポートを提供しています。緊急の場合は、911にお電話ください。また、スパイウェアに感染したと思われる場合は、ストーカーウェア対策連合(Coalition Against Stalkerware)にもリソースがあります。
