TechCrunch の取材によると、全米の少なくとも 3 つのウィンダム ホテルのチェックイン システムで、消費者向けスパイウェア アプリが稼働していることが判明した。
「pcTattletale」と呼ばれるこのアプリは、宿泊客の詳細情報や顧客情報を含むホテル予約システムのスクリーンショットを密かに継続的に取得していました。スパイウェアのセキュリティ上の欠陥により、これらのスクリーンショットはスパイウェアの意図したユーザーだけでなく、インターネット上の誰でも閲覧可能となっています。
これは、スパイウェア自体のセキュリティ上の欠陥によって機密情報が漏洩した、消費者向けスパイウェアの最新の事例です。また、pcTattletaleがアプリをインストールしたデバイスのスクリーンショットを公開したのは、これが2度目です。近年、他のいくつかのスパイウェアアプリにもセキュリティ上のバグや設定ミスがあり、デバイス所有者の個人情報が漏洩し、場合によっては政府の規制当局による措置が取られました。
ゲストと予約の詳細が取得され公開される
pcTattletale を使用すると、それを操作する人は誰でも、世界中のどこからでも、対象の Android または Windows デバイスとそのデータをリモートで閲覧できます。pcTattletale の Web サイトには、このアプリは「ワークステーションのバックグラウンドで目に見えない形で実行され、検出されない」と記載されています。
しかし、このバグにより、セキュリティ上の欠陥の仕組みを理解しているインターネット上の誰でも、スパイウェアがキャプチャしたスクリーンショットを pcTattletale のサーバーから直接ダウンロードできることになります。
セキュリティ研究者のエリック・デイグル氏は、TechCrunchに対し、消費者向けスパイウェアの調査の一環として、ホテルのチェックインシステムへの侵入を発見したと語った。これらのアプリは、配偶者や同性パートナーを含む人物を本人の承諾なしに、あるいは本人の同意なしに追跡する機能を持つことから、「ストーカーウェア」と呼ばれることが多い。
デイグル氏はpcTattletale社にこの問題について警告しようとしたが、同社からの返答はなく、本稿執筆時点では脆弱性は未修正のままであると述べた。デイグル氏はpcTattletale社のスクリーンショット流出バグについて、短いブログ記事で限定的な詳細を公表したが、悪意のある人物による脆弱性の悪用を防ぐため、具体的な内容は明らかにしなかった。
テッククランチイベント
サンフランシスコ | 2025年10月27日~29日
デイグル氏によると、pcTattletale は、アプリが動作しているデバイスの新しいスクリーンショットを定期的に、時には数秒ごとに撮影するという。
TechCrunchが確認した2つのウィンダムホテルのスクリーンショットには、旅行テック大手Sabreが提供するウェブポータルに掲載された宿泊客の名前と予約情報が表示されています。また、ウェブポータルのスクリーンショットには、宿泊客の支払いカード番号の一部も表示されています。
別のスクリーンショットには、3つ目のウィンダム ホテルのチェックイン システムへのアクセスが示されており、当時はゲストの予約を管理するために使用されていた Booking.com の管理ポータルにログインしていました。
このアプリを誰がどのように仕掛けたのかは不明だ。例えば、ホテルの従業員が騙されてインストールしたのか、それともホテルのオーナーが従業員の行動を監視するためにこのスパイウェアを使用することを意図していたのかなどだ。pcTattletale は、従業員を監視する手段として売り込まれている。
影響を受けたホテルの1軒の支配人は、TechCrunchの電話取材に対し、スパイウェアがチェックイン用コンピュータのスクリーンショットを撮っていたことに気づいていなかったと述べました。他の2軒のホテルの支配人は、TechCrunchからの電話やメールには返答しませんでした。 ホテル従業員への報復のリスクを考慮し、TechCrunchは具体的なホテル名を公表していません。
ウィンダムの広報担当者ロブ・マイヤーズ氏は、TechCrunchへのメールで次のように述べた。「ウィンダムはフランチャイズ組織であり、米国内のホテルはすべて独立して所有・運営されています。」ウィンダムは、自社ブランドホテルのフロントデスクのコンピューターでpcTattletaleが使用されていたことを認識していたのか、あるいはpcTattletaleの使用がウィンダムのポリシーで承認されていたのかについては明らかにしなかった。
Booking.com は TechCrunch に対し、自社のシステムはスパイウェアによる侵害を受けていないが、今回のケースはサイバー犯罪者がホテルのアカウントにアクセスするためにホテルのシステムを標的にしている一例のようだと語った。
「残念ながら、当社の宿泊施設パートナーの一部は、非常に巧妙で洗練されたフィッシング詐欺の標的となっています。これらの詐欺は、システム外のリンクをクリックさせたり、添付ファイルをダウンロードさせたりすることで、マルウェアを端末にダウンロードさせ、場合によってはBooking.comアカウントへの不正アクセスにつながる可能性があります」と、Booking.comの広報担当者アンジェラ・ケイビス氏は述べています。「これらの悪質な行為者は、パートナー(あるいはBooking.com)になりすまし、時には非常に巧妙な手口で、予約確認書に記載されているポリシーに反して、顧客に支払いを要求しようとします。」
BBCニュースは昨年12月、サイバー犯罪者がBooking.comを利用する各ホテルの管理ポータルへのアクセスを取得したと報じました。このアクセスを利用して、犯罪者は同社のアプリから顧客にメッセージを送信し、ホテルではなくホテルに支払いをさせようとしました。
pcTattletale や他のスパイウェアが過去の事件と関連しているかどうかは不明だが、Booking.com は調査中だと述べた。
「全トラックをカバー」
ストーカーウェアアプリには長い歴史があり、表面上は合法的な用途(米国では自分の子供を追跡することは合法)のために販売されているが、その一方で、アプリは本人の知らないうちに、多くの場合配偶者や同性パートナーをターゲットにするために使用できると宣伝したり、公言したりしており、これは違法である。
pcTattletaleは子供や従業員を監視するソフトウェアとして販売されているが、同社は「パートナーが浮気をしているのではないかと心配する配偶者」向けのアプリとしても宣伝している。
pcTattletaleはAndroidとWindows用のスパイウェアアプリを開発しており、どちらのアプリもインストールするには対象のデバイスに物理的にアクセスする必要がある。TechCrunchによるスパイウェアの独自のテストと分析によると、pcTattletaleはWindows用のスパイウェアアプリをワンクリックダウンロードとして提供しており、数秒でインストールできるという。
pcTattletale は「We Do It For You」というサービスも提供しており、同社によれば、顧客に代わって標的のコンピュータにスパイウェアをインストールするのを手伝ってくれるという。
「お客様のWindowsコンピュータにpcTattletaleをインストールいたします。時間を指定するだけです」と、pcTattletaleのウェブサイトの会員ポータルには記載されています。「コンピュータへのアクセス手順を記載したメールをお送りします。作業時間は約10分です。痕跡は一切残りません。すべての痕跡を隠します」。その後、お客様には「当社の技術者がコンピュータにアクセスするための」リンクが送信されます。
ストーカーウェアは米国では法的に曖昧な領域で活動しており、スパイウェアの所持自体は違法ではないものの、本人の承諾なしに他人に対して使用することは違法とされています。米国の検察当局は過去に、pcTattletaleが主張するように、ストーカーウェア開発者が同意のない監視を容易にしたとして訴追しています。
pcTattletale を創設し管理するブライアン・フレミング氏は、TechCrunch のコメント要請に応じなかった。
ご自身またはお知り合いの方が助けを必要としている場合は、全米家庭内暴力ホットライン(1-800-799-7233)が、家庭内暴力や暴力の被害者に対し、24時間365日、無料、秘密厳守のサポートを提供しています。緊急の場合は、911にお電話ください。スパイウェアに感染したと思われる場合は、ストーカーウェア対策連合(Coalition Against Stalkerware)がリソースを提供しています。
本記者への連絡は、SignalまたはWhatsApp(+1 646-755-8849)またはメールでお願いいたします。また、SecureDrop経由でファイルや文書を送信することも可能です。
