エヴァ・ガルペリンさんは、この1年間で様々な兆候を学んできたと言います。家庭内暴力の被害者たちが、加害者が電話やメールのやり取り、さらには最もプライベートな会話の内容まですべて知っているようだと訴えてきます。加害者は被害者の居場所を把握しており、時には脅迫のためにその場所に現れることさえあります。被害者の携帯電話から不可解な方法で入手した写真をひけらかし、時には嫌がらせや脅迫に利用します。そして、ハッキングの疑いがある場合の一般的な対策、つまりパスワードの変更や二要素認証の設定などは、どれも効果がないようです。
これらのケースでこれらの対策が効果を発揮しないのは、加害者が被害者の携帯電話自体に深刻な侵入を仕掛けているからです。ストーカーは熟練したハッカーである必要はありません。簡単に入手できる消費者向けスパイウェアと、それを標的のデバイスにインストールする機会さえあればよいのです。いわゆる「配偶者ウェア」、あるいは「ストーカーウェア」と呼ばれるこの手のスパイウェアは近年急速に成長しており、ガルペリン氏はこれがデジタルプライバシーにとって極めて過小評価されている脅威であると主張しています。
「誰かの携帯電話への完全なアクセスは、本質的に誰かの心への完全なアクセスに等しい」と、デジタル市民権擁護団体「電子フロンティア財団」の脅威研究室を率いるセキュリティ研究者、ガルペリン氏は語る。「携帯電話にこのソフトウェアをインストールした人は、身体的虐待やストーカー行為の被害者になる可能性がある。殴打されることもある。殺されることもある。子供が誘拐されることもある。これは、非常に大きく恐ろしい脅威の、ほんの一端に過ぎないのだ。」
ガルペリン氏は今、この脅威を永久に終わらせる、あるいは少なくとも業界に深刻な打撃を与える計画を立てている。来週シンガポールで開催されるカスペルスキー セキュリティアナリストサミットで講演予定のガルペリン氏は、一連の要求事項を提示する。まず、長年の怠慢と不作為の後、アンチウイルス業界に対し、ストーカーウェアの脅威を真剣に受け止めるよう求める。また、AppleがApp Storeでアンチウイルスアプリの配信を許可していないことを踏まえ、iPhoneユーザーをストーカーウェアから保護するための対策を講じるようAppleに求める。そして最後に、そしておそらく最も抜本的な要求として、州および連邦当局に対し、検察権を行使し、ストーカーウェア販売企業の幹部をハッキング罪で起訴するよう求めるとしている。「こうした企業のいくつかが閉鎖されれば良いのですが」とガルペリン氏は言う。「刑務所に入る人もいれば良いのですが」
講演に先立ち、ガルペリン氏は初の勝利を手にした。ロシアのセキュリティ企業カスペルスキーは本日、Androidスマートフォンにおけるストーカーウェアの扱いを大幅に変更すると発表した。AndroidスマートフォンではiPhoneよりもはるかに蔓延している。カスペルスキーのソフトウェアは、従来の多くのストーカーウェアと同様に、スパイアプリを単に疑わしいアプリとしてフラグ付けし、「ウイルスではありません」という紛らわしいラベルを付けるだけだった。しかし、今後はブラックリストに登録された数十ものアプリについて、ユーザーに紛れもない「プライバシー警告」を表示し、削除または隔離して機密情報へのアクセスを遮断するオプションを提供する。
これまでカスペルスキーは、ストーカーウェアに「ウイルスではありません」(左)という紛らわしいラベルを付けていたが、今後は同じスパイウェアに「プライバシー警告」という紛らわしいラベルを表示する。(右)カスペルスキー
ストーカーウェアの被害者と直接関わってきたガルペリン氏は、モスクワに拠点を置くこの企業の行動は、セキュリティ業界全体の基準を引き上げるものだと見ている。ある企業が消費者向けスパイウェアを本格的なセキュリティ脅威として認識し始めれば、競争が激化し、他のウイルス対策企業もその基準を満たすよう促されるだろうと彼女は主張する。その結果、長らくストーカーウェアを過小評価してきたセキュリティ業界にとって、より広範な救済策となることを彼女は期待している。これは、セキュリティ研究者がデバイスへのフルアクセスを必要とするスパイツールを「真の」ハッキングとは見なさないことが原因であることが多い。しかし、関係を支配しているDV加害者は、まさにパートナーの携帯電話に物理的にアクセスできる。
「ストーカーウェアは、ほとんどのセキュリティ研究者にとって関心の薄いものと考えられています」とガルペリン氏は言う。「規範を変えるには時間がかかります。しかし、それは誰かが立ち上がり、『これはいけない、これは受け入れられない、これはスパイ行為だ』と声を上げることから始まります。」
クリープウェアの取り締まり
粗悪なことで悪名高い Android 向けウイルス対策市場では、ガルペリン氏が指摘するストーカーウェアの無視が数字によって裏付けられている。昨年、コーネル工科大学、ニューヨーク大学、ワシントン大学の研究者らが、Android 向け既知のストーカーウェア アプリ 70 件を調査した結果、Google Play ストアにないアプリの大部分をウイルス対策ソフトが検出できなかったことがわかった。有名なウイルス対策製品の中では、マカフィーのウイルス対策ソフトが最も優れた成績を収め、アプリの 10 % を検出できなかった。その他は、25 % から 40 % を検出できなかった。ESET は、そのほか評判の高いウイルス対策製品だが、85 % を検出できなかった。また、Google は、子供や盗難された電話を追跡するためのものとして宣伝されている監視アプリの一部を Play ストアで許可しているが、ウイルス対策ソフトは、実質的にそれらのアプリをまったく検出しなかった。
「業界全体がこれらのアプリを真剣に検討してきませんでした」と、カスペルスキーのマルウェアアナリストで、同社の消費者向けスパイウェアに対する新たなアプローチに携わったアレクセイ・ファーシュ氏は語る。「ペアレンタルコントロールや盗難防止を装うアプリもありますが、同時に、これらのソフトウェアはユーザーのブラウザ履歴をすべて取得します。これは正常ではなく、許されることではありません。」
セキュリティ業界の中には、カスペルスキー社の新たなストーカー対策の啓蒙活動に疑念を抱く人もいるかもしれない。カスペルスキー社は長年にわたり、ロシアの諜報機関との関係を疑われてきたが、同社はこれを否定している。米国は昨年、連邦政府によるカスペルスキー社のソフトウェアの公式使用を禁止した。しかしガルペリン氏は、ストーカーウェア対策は、カスペルスキー社とロシア政府との疑惑が関係のない状況の一つだと指摘する。家庭内暴力加害者によるスパイ行為を懸念するカスペルスキー社ユーザーと、ロシアの諜報機関を懸念するカスペルスキー社ユーザーは、ほとんど同じではない。
「重要なのは、脅威をモデル化することです。家庭内暴力の被害者のほとんどは、NSAや米国政府に勤めているわけではありません」と彼女は言う。しかし、彼女はカスペルスキー社の動きを、同社の米国競合他社に圧力をかけるための手段と捉えている。「米国のアンチウイルス企業には、追いつくことをお勧めします。そうすれば、私が代わりに彼らに推奨することができます。立ち上がって、自ら行動を起こしましょう。」
ハッキング被害者への直接対応
ガルペリン氏がこの活動を始めたのは1年前、個人的に知り合いのセキュリティ研究者(名前は伏せられる)が、複数の女性を密かに性的虐待していたことを知った時だった。ガルペリン氏によると、少なくとも1件のケースでは、加害者が被害者をコントロールするためにハッキングすると脅迫していたという。テクノロジーニュースサイト「マザーボード」がストーカーウェアに関する一連の衝撃的な調査記事を報じたことを念頭に、彼女はTwitterにメッセージを投稿した。ハッキングの脅迫を受けた性的暴力の被害者は、彼女に助けを求めるよう呼びかけた。
ガルペリン氏にとって意外なことに、そのツイートは彼女の人生の大部分を占めることになった。1万回近くリツイートされたのだ。その後数ヶ月にわたり、自分のパソコンや携帯電話がハッキングされたのではないかと疑ったり、不安に思ったりした何百人もの家庭内暴力被害者が、彼女に連絡を取った。ガルペリン氏はそれ以来、勤務時間の約4分の1を、いわばワンマンITヘルプデスク兼セラピストとして活動することに費やしてきたと推定している。携帯電話のスパイウェアチェックからパスワード変更、さらには被害者の一人がスパイに使われていると信じていたNestカメラの調査まで、あらゆる面で人々を支援してきた。「私は彼らに代わって企業に電話をかけ、弁護士を見つけるのを手伝いました」とガルペリン氏は語る。「私は彼らのそばに座り、手を握り、『すべてうまくいく』と伝えてきました」
ガルペリン氏の調査によると、実際にストーカーウェアが被害者の携帯電話にインストールされたケースはごくわずかで、アカウントがハッキングされたり、ハッキングの脅迫が実際には行われなかったりするケースの方がはるかに多かった。しかし、ストーカーウェアによるケースは、最も極端なケースが多かったとガルペリン氏は述べている。
「話は『携帯が変な動きをする』という話では始まりません」と、EFFの脅威研究所のもう一人のスタッフ、デイブ・マース氏は言う。彼はかつてガルペリン氏が殺到する依頼を整理するのを手伝ったことがある。「『誰かに殴られた、レイプされた、子供たちを脅された』という話から始まります。恐ろしい話です。こうした話に耳を傾け、深く掘り下げる精神的な強さこそが、エヴァの真の強みの一つなのです」
しかし数ヶ月も経たないうちに、ガルペリンはストーカーウェア対策の現場対応者としての自身の仕事は、規模が大きくなりすぎると悟った。そこで彼女は別のアプローチを模索し始めた。「問題全体を考察し、最も効果的な対策を考えました」と彼女は語る。「もし被害者がアンチウイルスソフトを起動して、『私の電話にはあなたのアプリは入っていません』と言えるようになれば、それは大きな意味を持つでしょう」
2018年3月、ガルペリン氏はカンクンで開催されたカスペルスキー セキュリティアナリストサミットで講演を行い、レバノンの国家支援を受けているハッカー集団「ダーク・カラカル」を追跡してきた長年の研究成果を発表しました。ビーチサイドのカンファレンスでのコーヒーブレイク中に、ガルペリン氏はカスペルスキーの研究者や幹部と、EFFとの連携の可能性について話し合いました。その後の電話会談では、カスペルスキーが世界で最もストーカーウェアに耐性のあるアンチウイルスソフトウェアとして自社の地位を確立すべきだと訴えました。米国政府によるカスペルスキー製品の使用禁止発表直後というタイミングは、まさに幸運でした。「カスペルスキーに何かを依頼するには絶好のタイミングです」とガルペリン氏は言います。「彼らは今、まさに勝利を必要としているのですから」
カスペルスキー社のファーシュ氏は、ガルペリン氏の勧めを受けて、同社がストーカーウェアに関する自社のマルウェア統計を調べたことを思い出す。その結果、前年だけで5万人以上のユーザーが感染した携帯電話を持っていたことが判明した。これらのユーザーはすべて、「ウイルスではありません」という曖昧な警告しか出ていなかった。もちろん、カスペルスキー社はストーカーウェアアプリをどれだけ検出できなかったかを正確には公表できなかったが、コーネル工科大学、ニューヨーク大学、ワシントン大学の共同調査によると、Google Playストア以外からインストールされたAndroidストーカーウェアの検出率は15%だった。
ストーカーウェア企業による追跡データの保管が極めて安全でないという報告が相次いだことを受け、カスペルスキーは対応策の変更を決断した。ファーシュ氏は最終的にガルペリン氏の影響を高く評価している。「電子フロンティア財団(EFF)の支援を受け、この現実の脅威に、より積極的に対処し、変革を実行する時が来たと認識しました」と彼は語る。
さらなる戦いが待ち受ける
ガルペリンは昨年、数百人のストーカーウェア被害者を実際に支援し、ITヘルプデスク、インシデント対応チーム、そして時にはセラピストとして活動してきました。フック・ファム
ストーカーウェア対策の全容は、時間と検証を経て初めて明らかになるだろうと、昨年のスパイウェア研究に携わったコーネル大学の研究者サム・ハヴロン氏は述べている。まだ多くの課題が残されている。ハヴロン氏は、家庭内暴力の被害者は、盗難防止ソフトウェア「Cerberus」のような、ウイルス対策企業がしばしば見落としている二重用途のアプリによっても追跡される可能性があると指摘する。Appleの「友達を探す」やGoogleマップの位置情報共有機能のような無害なツールでさえ、位置情報を共有するように密かに設定されている可能性があることをユーザーに適切に伝えなければ、悪用される可能性がある。「これは本当に素晴らしいニュースです」とハヴロン氏はカスペルスキーのストーカーウェア対策について述べている。「これが業界全体の追随を促すきっかけになれば幸いです。しかし、これはほんの始まりに過ぎません。」
ガルペリン氏も勝利宣言をしているわけではない。来週開催されるカスペルスキー社のセキュリティアナリストサミットでの講演で、彼女はAppleに対し、ストーカーウェアを可能にする問題の修正も要求する予定だ。iPhoneは、ジェイルブレイク(iPhoneのセキュリティ制限を解除し、非公式アプリをインストールできるようにする技術)されている場合、ユーザーに警告を出すべきだとガルペリン氏は主張する。彼女によると、ジェイルブレイクはストーカーウェアがiOSデバイスに侵入する最も一般的な方法だという。iPhoneがそのような方法でハッキングされたかどうかを判断することは長年の課題だったが、最近のiOSバージョンでは、ジェイルブレイクツールを使用するには通常、iPhoneをラップトップに接続し、iPhoneを再起動するたびにこのプロセスを繰り返す必要があるため、問題はそれほど深刻ではない。WIREDはガルペリン氏の要求についてAppleにコメントを求めたが、回答は得られなかった。
ガルペリン氏がSAS講演で取り上げる3つ目の、そしておそらく最も劇的な戦いは、法執行機関との闘いとなるだろう。彼女は、盗聴法、コンピュータ詐欺・濫用法、そして州レベルの二者同意録音法といった既存のコンピュータ犯罪法が、ストーカーウェア企業の相当数に適用されると主張する。これらの企業は、自社製品の用途を浮気中の配偶者や恋人を秘密裏に追跡することと公言している。彼女は、ニューヨーク州、カリフォルニア州、ワシントン州を、司法長官が彼女の取り締まり要請に耳を傾ける可能性がある州として挙げている。「ここにこれらの企業がいます。彼らは既にこのような方法で法律を破っています」と彼女は主張を要約する。「彼らを起訴することを考えたことがありますか? できれば素晴らしいことです」
ガルペリン氏は、自身の役割はストーカーウェア被害者のための戦略的なロビー活動のようなものだと認めている。しかし、少なくともカスペルスキーは、その声に耳を傾けてくれたようだ。そして彼女は、それが他のアンチウイルス企業、そしてそれ以外の企業にとっても、ストーカーウェアとの戦いを正しい方向に導く助けになることを期待している。「時には、望んだものが手に入ることもあります」とガルペリン氏は言う。「今回の変化のおかげで、家庭内暴力の被害者と話す時、『はい、アンチウイルスをインストールしてください』と言えるようになりました。そして、実際に何か良い効果があるかもしれません。」
WIREDのその他の素晴らしい記事
- おすすめのレインジャケット5選と選び方
- HTTPSは見た目ほど安全ではない
- 出生前の遺伝情報をどれくらい知りたいですか?
- 目の動きを追跡することでコンピューターの学習を助けることができる
- アル・ゴアはグリーン・ニューディールを発明したわけではないが、彼はそれを気に入っている
- 👀 最新のガジェットをお探しですか?最新の購入ガイドと年間を通してのお買い得情報をチェックしましょう
- 📩 毎週配信されるBackchannelニュースレターで、さらに多くの内部情報を入手しましょう
