Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

個人監視アプリが秘密情報を漏洩していては・・

 Krebs on Securityの記事が元の様ですが、Gigazineの記事が気になりました。

gigazine.net

モニタリングアプリを提供する「mSpy」が、有料顧客数百万人分のパスワード・通話記録・メッセージ・連絡先・位置情報などを流出していたことを明らかにしました。mSpyがユーザーの個人情報を漏えいするのは過去3年で2度目となります。

セキュリティ研究者のNitish Shah氏が、mSpyの公式サイト上で行われたトランザクションと、mSpyのソフトウェアが携帯電話から収集した情報の両方を照会することができるオープンデータベースを発見しました。

Gigazine記事より引用)

 

◆キタきつねの所感

mSpyは、いわゆるスパイウェアです。対象の携帯電話の通話履歴、メール履歴、LINEやTwitterFacebook等のSNSチャットメッセージも監視できますGPSなどと組み合わせる事で更にいろいろな事が実現できます。

正常な使い方としては、、、子供の監視という事であったり、従業員(会社スマホ)の監視という使い方がありますが、夫婦間での同意を得ずにこっそり行動を監視・・といった活用もされているようです。

www.mspy.jp

f:id:foxcafelate:20180908180847p:plain

 

使い方によっては、便利でセキュリティ向上にも使えるアプリでありますが、今回発覚したのは、まず3年間で2度目の大規模情報流出であり、運営会社としてのセキュリティ意識の低さが問題かも知れません。有料会員は数百万人いるとされていますが、他サービスに乗り換える会員といった影響は出てきそうです。

漏洩したデータは・・もっと深刻です。

f:id:foxcafelate:20180908181914p:plain

(Krebs on Security記事より引用)

 

このデータベースは記事作成時点では既にオフラインとなっており使用不可能ですが、mSpyユーザー数百万人分のユーザー名・パスワードプライベート暗号化キーなどを含むデータが保管されていたそうで、何者かが不正に情報を公開していたことは明らかです。なお、公開されていた情報の中の「プライベート暗号化キー」があれば、誰でもmSpyのソフトウェアを実行しているモバイル機器の詳細を追跡可能になるとのこと。

また、データベース上にはAppleiCloudアカウント名、認証トークン、およびiCloudバックアップファイルも含まれていたそうです。

データベースに保管されていたその他の情報は、顧客名・メールアドレス・住所・支払額などで、過去6カ月の間にmSpyライセンスを購入した際の取引詳細も含まれていたそうです。また、公開されていたデータにはmSpyユーザーのログも含まれており、mSpyの公式サイトにアクセスしたユーザーのブラウザ情報およびIPアドレスも記されていた模様。

Gigazine記事より引用)

この漏洩したとされるデータから読み取れる事は、mSpyの基幹システムが内部不正か、不正アクセス(ハッキング)を受けたのだろうと言う事です。mSpyは過去(2015年)にもハッキング被害を受けている為、やはり外部から不正に入られれた可能性が高いのだと思います。

とは言え、この手の監視ソフトというのは、裏で国家機関に情報を流していると噂される事もあるので、そちら経由での情報漏えいという可能性もあるかも知れません。

 

余談ですが、Krebs on Securityの元記事を見てみると、mSpyの運営会社は、その所在地を明らかにしていません。同社のウェブサイトには米国、ドイツ、英国にオフィスがあるとされていますが、公式の住所は記載されていません。Webサイトの登録では、既に解散している会社名(MTechnology)であるようですが、商標紛争の裁判書類には、カリフォルニアに拠点を置いているとかかれているようです。

 

例え良いサービスであっても、こうした(得体の知れない)会社を信頼するべきなのは、プライバシーとセキュリティを気にしない人であるべきなのかも知れません。

 

 

一般市民の携帯電話を覗く警察官のイラスト(日本)

 

 

更新履歴

  • 2018年9月7日PM(予約投稿)