テッククランチが数週間前にこのテクノロジー大手に対し、盗まれた電話データを同社がホスティングしていると通知したにもかかわらず、アマゾンは、個人のプライベートな電話データを大量にアマゾンのクラウドサーバー上に保管している3つの電話監視アプリに対して措置を講じる予定があるかどうかを明らかにしていない。
Amazonは、TechCrunchに対し、2月の通知後「[自社の]プロセスに従っている」と述べたが、この記事の公開時点では、ストーカーウェア運営会社Cocospy、Spyic、Spyzieが、人々の携帯電話から盗み出した写真をAmazon Web Servicesにアップロードし、保存し続けている。
Cocospy、Spyic、Spyzieは、ほぼ同じ内容のAndroidアプリで、ソースコードと共通のセキュリティバグを共有していると、このアプリを発見し、TechCrunchに詳細を提供したセキュリティ研究者が明らかにした。研究者によると、これらのアプリは合計310万人の電話データを流出させたとのことで、その多くは自分のデバイスが侵害されたことに気づいていない被害者だ。研究者は、このデータを侵害通知サイト「Have I Been Pwned」と共有した。
TechCrunchは、ストーカーウェアの活動に関する調査の一環として、アプリ自体の分析も行い、ストーカーウェアアプリによって侵害されたデバイスのコンテンツの一部が、Amazon Web Services(AWS)が運営するストレージサーバーにアップロードされていることを発見した。
TechCrunchは2月20日にAmazonに対し、CocospyとSpyicによって盗み出されたデータをAmazonがホスティングしていると電子メールで通知した。また今週初めにも、AmazonがSpyzieによって盗み出された電話データもホスティングしていると通知した。
両方のメールにおいて、TechCrunch は被害者の携帯電話から取得されたデータを含む、Amazon がホストする特定のストレージ「バケット」の名前を記載しました。
これに対し、Amazonの広報担当者ライアン・ウォルシュ氏はTechCrunchに対し、「AWSは明確な利用規約を定めており、お客様には適用法を遵守してサービスをご利用いただくようお願いしています。利用規約違反の可能性があるという報告を受けた場合は、速やかに審査を行い、禁止されているコンテンツを無効にする措置を講じます」と述べた。ウォルシュ氏は、不正使用報告フォームを掲載したAmazonのウェブページへのリンクを提供したが、アプリが使用しているAmazonサーバーの状況についてはコメントを避けた。
今週のフォローアップメールで、TechCrunch は Amazon がホストするストレージバケット名を記載した 2 月 20 日付けのメールについて言及しました。
これに対し、ウォルシュ氏はTechCrunchに対し「この問題を指摘してくれた」ことに感謝し、Amazonの不正使用報告フォームへのリンクを改めて提供した。Amazonがこれらのバケットに対して何らかの措置を取る予定があるかどうか再度問われると、ウォルシュ氏は「先ほど提供したリンク経由でTechCrunchから不正使用報告はまだ受け取っていません」と答えた。
このメールのスレッドにコピーされたAmazonの広報担当者、ケーシー・マギー氏は、「このスレッドの内容を、潜在的な不正使用の『報告』を構成するものとして特徴づけるのは、TechCrunchにとって不正確だ」と主張した。
有料顧客の維持に商業的関心を持つアマゾンウェブサービスは、同社の2024年通期収益によれば、2024年に398億ドルの利益を上げ、アマゾンの年間総収入の大部分を占めることになる。
Cocospy、Spyic、Spyzie で使用されているストレージ バケットは、公開時点ではまだアクティブです。
これがなぜ重要なのか
Amazonの利用規約では、同社が顧客にプラットフォーム上でホストすることを許可する内容について、幅広く規定しています。Amazonは、スパイウェアやストーカーウェアによるプラットフォームへのデータアップロードを禁止していることについては異議を唱えていないようです。むしろ、Amazonの異議申し立ては完全に手続き上の問題であるように思われます。
アマゾンのプラットフォーム、あるいは他の企業のクラウド プラットフォームでホストされているものを監視するのは、ジャーナリストの仕事でも、他の誰の仕事でもない。
Amazon は、悪質な行為者がサービスを悪用しないようにすることで、独自のポリシーを施行するために使用できる、財務的にも技術的にも膨大なリソースを持っています。
最終的に、TechCrunchはAmazonに通知を行い、盗まれた大量の個人情報の保存場所を直接示す情報も提供しました。Amazonは受け取った情報に基づいて行動しないことを選択しました。
被害者のデータがAmazonでホストされているのを発見した経緯
TechCrunch では、監視関連のデータ侵害を知ると (近年、ストーカーウェアによるハッキングや漏洩が何十件も発生している)、その活動について可能な限り多くのことを知るために調査を行っている。
私たちの調査は、ハッキングされたスマートフォンの被害者の特定に役立つだけでなく、監視を行う者自身の隠された実在の身元や、監視を容易にしたり被害者の盗難データを保管したりするために使用されているプラットフォームを明らかにすることもできます。TechCrunchは、利用可能なアプリを分析し、被害者がアプリを特定し削除する方法を判断できるよう支援します。
TechCrunchは、報道プロセスの一環として、スパイウェアやストーカーウェアのホスティングまたはサポートを行っていると特定した企業に連絡を取ります。これは、記事で企業に言及する予定のある記者にとって標準的な手順です。また、ウェブホスティング会社や決済代行会社などの企業が、Amazonでホスティングされていた過去のスパイウェア活動など、自社の利用規約に違反するアカウントを停止したり、データを削除したりすることも珍しくありません。
2月に、TechCrunchはCocospyとSpyicが侵害されたことを知り、さらに調査を開始しました。
データから被害者の大半がAndroidデバイス所有者であることが示されたため、TechCrunchはまず、仮想Androidデバイス上でCocospyアプリとSpyicアプリを特定し、ダウンロードしてインストールしました。(仮想デバイスは、ストーカーウェアアプリを保護されたサンドボックス内で実行し、位置情報などの現実世界のデータをどちらのアプリにも提供することなく実行できます。)CocospyとSpyicはどちらも、「システムサービス」という名の、見た目がそっくりで特徴のないアプリとして登場し、Androidの内蔵アプリに紛れ込むことで検出を回避しようとします。
私たちはネットワーク トラフィック分析ツールを使用して、アプリに出入りするデータの流れを検査しました。このツールは、各アプリの動作を理解し、テスト デバイスから密かにアップロードされている電話データを特定するのに役立ちます。
ウェブトラフィックから、2 つのストーカーウェア アプリが、写真などの被害者のデータを、Amazon Web Services でホストされている同名のストレージ バケットにアップロードしていることがわかった。
CocospyとSpyicのユーザーダッシュボードにログインすることで、この事実をさらに確認しました。これらのダッシュボードは、ストーカーウェアアプリを仕掛けた者が標的の盗まれたデータを閲覧できる場所です。また、ストーカーウェアアプリを使って仮想Androidデバイスを意図的に侵害した後、ウェブダッシュボードから仮想Androidデバイスのフォトギャラリーのコンテンツにアクセスできました。
各アプリの Web ダッシュボードからデバイスのフォト ギャラリーのコンテンツを開くと、amazonaws.comAmazon Web Services によって実行されるドメインでホストされているそれぞれのバケット名を含む Web アドレスから画像が読み込まれました。
Spyzieのデータ侵害に関する報道を受けて、TechCrunchはネットワーク分析ツールを用いてSpyzieのAndroidアプリを分析し、トラフィックデータがCocospyやSpyicと同一であることを発見しました。Spyzieアプリも同様に、被害者のデバイスデータをAmazonクラウド上の独自のストレージバケットにアップロードしており、TechCrunchは3月10日にAmazonに警告しました。
ご自身またはお知り合いの方が助けを必要としている場合は、全米家庭内暴力ホットライン(1-800-799-7233)が、家庭内暴力や暴力の被害者に対し、24時間365日、無料、秘密厳守のサポートを提供しています。緊急の場合は、911にお電話ください。スパイウェアに感染したと思われる場合は、ストーカーウェア対策連合(Coalition Against Stalkerware)がリソースを提供しています。
