データ侵害により、mSpyスパイウェアの顧客数百万人が暴露される

テッククランチイベント

しかし、情報漏洩から1か月以上が経過した現在でも、mSpyの所有者であるウクライナに拠点を置くBrainstack社は、情報漏洩を認めておらず、公表もしていない。 

データ侵害通知サイト「Have I Been Pwned」を運営するトロイ・ハント氏は、漏洩したデータセット全体のコピーを入手し、mSpy顧客の約240万件の固有メールアドレスを自身のサイトの過去のデータ侵害カタログに追加した。 

ハント氏はTechCrunchに対し、侵害されたデータの情報を持って「Have I Been Pwned」の購読者数名に連絡を取り、漏洩したデータが正確であることを確認したと語った。

TechCrunchが最近まとめたリストによると、mSpyはここ数ヶ月でハッキング被害に遭った最新の携帯電話スパイウェアです。mSpyの今回の情報漏洩は、スパイウェアメーカーが顧客や被害者のデータを安全に保管できるとは到底言えないことを改めて示しています。 

mSpyの顧客からのメッセージ数百万件

TechCrunchは、漏洩したデータセット（Zendeskの記録100ギガバイト以上）を分析した。そこには、何百万もの個別の顧客サービスチケットとそれに対応するメールアドレス、そしてそれらのメールの内容が含まれていた。

メールアドレスの中には、mSpyの顧客によって標的にされ、気づかずに被害に遭った人々のものも含まれています。また、2018年に発生した同社の最後の既知の侵害事件の後、一部のジャーナリストがコメントを求めて同社に連絡を取ったこともデータから明らかになっています。さらに、米国の法執行機関は複数回にわたり、mSpyに対して召喚状や法的要求書を提出、あるいは提出しようと試みました。あるケースでは、短いメールのやり取りの後、mSpyの担当者が、誘拐殺人事件の容疑者とされるmSpyの顧客の請求先情報と住所情報をFBI捜査官に提供しました。

データセット内の各チケットには、mSpyに連絡してきた人々に関する一連の情報が含まれていました。多くの場合、データには送信者のデバイスのIPアドレスに基づくおおよその位置情報も含まれていました。

TechCrunchは、データセットからすべての位置座標を抽出し、オフラインマッピングツールでデータをプロットすることで、mSpyの連絡対象顧客の所在地を分析しました。その結果、mSpyの顧客は世界中に存在し、ヨーロッパ、インド、日本、南米、イギリス、アメリカに大きなクラスターを形成していることがわかりました。

スパイウェアの購入自体は違法ではありませんが、スパイウェアを販売したり、本人の同意なしに盗聴するために使用したりすることは違法です。米国の検察当局は過去にスパイウェア製造業者を起訴しており、連邦当局と州の監視機関は、スパイウェアがもたらすサイバーセキュリティとプライバシーのリスクを理由に、スパイウェア関連企業を監視業界から排除しています。スパイウェアを仕掛けた顧客は、盗聴法違反で起訴される可能性もあります。

Zendeskから流出したデータに含まれるメールは、mSpyとその運営者が、顧客がスパイウェアをどのように利用しているかを深く認識していることを示しており、本人の知らないうちに携帯電話を監視することもその例です。リクエストの中には、配偶者にmSpyの存在がバレてしまった後、パートナーの携帯電話からmSpyを削除する方法を尋ねる顧客の声も含まれています。また、このデータセットは、米国の政府関係者や政府機関、警察、司法機関によるmSpyの使用についても疑問を呈しています。なぜなら、スパイウェアの使用が法的手続きに基づいているかどうかは不明だからです。

データによると、メールアドレスの1つは、アラバマ州、ジョージア州、フロリダ州を管轄する第11巡回区連邦控訴裁判所の現職控訴裁判官であるケビン・ニューサム氏のもので、同氏は政府の公式メールアドレスを使用してmSpyに返金を請求した。

米国第11巡回控訴裁判所の職場関係担当ディレクター、ケイト・アダムズ氏はTechCrunchに対し、「ニューサム判事のmSpy使用は、家族問題に対処するという個人的な立場で行われたもの」と述べた。アダムズ氏は、判事によるmSpyの使用や、ニューサム判事の監視対象者が同意していたかどうかといった具体的な質問には回答を控えた。

このデータセットは、米国当局や法執行機関からの関心も示している。連邦政府機関の監督を担う監視機関である社会保障局監察総監室の職員からのメールは、mSpyの担当者に対し、監視機関が「一部の犯罪捜査に[mSpy]を活用できるかどうか」を尋ねたものの、具体的な方法は明らかにしなかった。  

TechCrunchが取材した際、社会保障局監察官の広報担当者は、職員がなぜ機関を代表してmSpyについて問い合わせたのかについてコメントしなかった。

アーカンソー郡保安官事務所は、近隣の保護者にソフトウェアのデモを提供するためと称して、mSpyの無料トライアルを申請した。担当の巡査部長は、mSpyに連絡する権限があるかどうかというTechCrunchの質問には回答しなかった。

mSpyの背後にある会社

これは、2010年頃に会社が設立されて以来、mSpyによるデータ侵害としては3件目となる。mSpyは最も長く運営されている電話スパイウェア事業の一つであり、それが同社がこれほど多くの顧客を獲得した理由の一つでもある。

mSpyの規模と影響力にもかかわらず、運営者はこれまで公衆の目に触れず、精査をほとんど逃れてきた。しかし、今となっては。スパイウェアメーカーが、多くの国で違法とされている世界的な電話監視活動に伴う法的リスクや評判リスクから企業を守るため、従業員の実社会での身元を隠すことは珍しくない。

しかし、mSpyのZendeskデータの漏洩により、その親会社がBrainstackというウクライナのテクノロジー企業であることが明らかになった。

BrainstackのウェブサイトにはmSpyについて言及されていません。公開されている求人情報と同様に、Brainstackは「ペアレンタルコントロール」アプリの開発に取り組んでいるとしか言及していません。しかし、Zendeskの内部データによると、BrainstackがmSpyの運営に広範かつ密接に関与していることがわかります。

TechCrunchは、漏洩したZendeskのデータの中に、Brainstackのメールアドレスを持つ数十人の従業員に関する情報を含む記録を発見しました。これらの従業員の多くは、顧客からの質問や返金リクエストへの対応など、mSpyのカスタマーサポートに携わっていました。

漏洩したZendeskのデータには、Brainstackの従業員の実名と、場合によっては電話番号が含まれているほか、従業員がmSpyの顧客チケットに返答する際に身元を隠すために使用した偽名も含まれている。

TechCrunch が問い合わせたところ、Brainstack の従業員 2 名は、漏洩した記録に自分たちの名前が記載されていることを確認したが、Brainstack での仕事について話すことを拒否した。

ブレインスタックの最高経営責任者（CEO）であるヴォロディミル・シトニコフ氏と上級幹部のカテリーナ・ユルチュク氏は、本記事の公開前にコメントを求める複数のメールに返答しなかった。一方、ブレインスタックの担当者（氏名は伏せた）は、本記事の内容に異議を唱えなかったものの、同社幹部への一連の質問への回答は拒否した。

mSpyのZendeskインスタンスがどのように、そして誰によって侵害されたのかは不明です。この侵害はスイスを拠点とするハッカー「maia arson crimew」によって最初に公表され、その後、漏洩したデータセットを公共の利益のためにインデックス化する非営利の透明性団体「DDoSecrets」にデータが公開されました。 

コメントを求められたZendeskの広報担当コートニー・ブレイク氏は、TechCrunchに対し「現時点では、Zendeskのプラットフォームが侵害されたという証拠はない」と述べたが、mSpyがスパイウェア活動のサポートにZendeskを使用したことが利用規約に違反しているかどうかについては言及しなかった。

「当社はユーザーコンテンツおよび行動規範を遵守し、違反の疑いがあれば適切に、定められた手順に従って調査することに尽力しています」と広報担当者は述べた。

ご自身またはお知り合いの方が助けを必要としている場合は、全米家庭内暴力ホットライン（1-800-799-7233）が、家庭内暴力や暴力の被害者に対し、24時間365日、無料、秘密厳守のサポートを提供しています。緊急の場合は、911にお電話ください。 スパイウェアに感染したと思われる場合は、ストーカーウェア対策連合（Coalition Against Stalkerware）がリソースを提供しています。