Yahoo!ニュース

米連邦取引委員会(FTC)が、Retina-X Studios社製ストーカーウェアの販売を禁止

大元隆志CISOアドバイザー
米国では、子供や従業員を監視するストーカーウェアの存在が問題視されつつある(写真:アフロ)

 連邦取引委員会(FTC)はRetina-X Studioが販売する、3つのアプリケーションを「ストーカーウェア」と判断し、アプリが正当な目的にのみ使用されることを保証する特定の措置を講じない限り、消費者のモバイルデバイスを監視するアプリの販売を禁止すると発表した。

 ストーカーウェアに対して、何らかのアクションが取られたのは、今回が初めてとなる。

 

■何故、販売を禁止させられたか?

 今回、FTCが販売禁止を申し立てたのは、Retina-X Studioが開発している、MobileSpy、PhoneSheriff、Teen Shieldの3つのアプリケーション。

 ・利用目的が限定されるような措置を取っていない

 Retina-X社は、これらのアプリは従業員と子供を監視することを意図していると主張しているが、FTCによれば、Retina-Xはこれらの目的のためにアプリが使用されていることを確認する措置を何も取っていないという。また、これらのアプリは購入者に対し、アプリのアイコンがスマートフォンの画面に表示されないようにする方法を指示しており、ユーザーはアプリがスマートフォンにインストールされていることを気付いていない可能性が有るという。

 ・行き過ぎた機密情報の収集

 Retina-Xアプリを購入したユーザーは、アプリをインストールしたユーザーの身体的な動きやオンライン活動など、ユーザーに関する機密情報にアクセスすることができたという。同時に、これらのアプリがインストールされたデバイスは、セキュリティ上の脆弱性にさらされていた。

 ・セキュリテイ対策の不備

 FTCはRetina-Xは各アプリが収集した情報を適切に保護しなかったと主張している。Retina-Xは製品の開発と保守のほとんどを第三者に委託しており、合理的な情報セキュリティポリシーの採用と適切な運用、アプリのセキュリティテストの実施、サービスプロバイダの適切な監視を怠ったと主張している。

 これらのセキュリテイ対策の不備により、Retina-Xはサイバー攻撃者によって2017年から2018年の間に二度、同社のクラウドストレージに不正侵入され、PhoneSheriffとTeenShieldが収集したログインユーザー名、暗号化されたログインパスワード、テキストメッセージ、GPS位置、連絡先、写真などのデータを不正に奪わていた。

 ・Children's Online Privacy Protection Actの違反

 上述の実態から、FTCは、Retina-X Studioが開発している、MobileSpy、PhoneSheriff、Teen Shieldについて、13歳未満の子供から収集した情報の保護を事業者に義務づけるChildren's Online Privacy Protection Act(COPPA)に違反していると判断し、対策が行われるまで、これらのアプリについて販売禁止することを決定した。

■FTCから提示された和解案

 FTCが提出した和解案では、Retina-X社は購入者に対し、同アプリを使用するのは子供や従業員、または書面で同意した他の成人を監視するためだけであることを示すよう求めている。さらに、正規のアプリ名称が表記されたアプリ・アイコンをスマートフォンに表示しなければならない。また、これは未成年の子供のスマートフォンにアプリをインストールした保護者または法的保護者のみが削除することが出来るようにしなければならない。

 さらに、Retina-X社は、COPPAに違反したり、収集した個人情報のプライバシーとセキュリティを保護する範囲を誤って伝えたりすることを禁じられている。

 また、Retina-X社は、収集した個人情報を保護するための情報セキュリティプログラムを実装し、維持する必要がある。このプログラムは、FTCの指摘したセキュリティー問題に対処するための具体的な安全策が含まれていなければならない。更に、2年ごとに情報セキュリティー・プログラムの第三者評価を受けなければならない。

■ストーカーウェアとは?

 本来の目的は、子供の居場所を把握する等の目的に開発された監視用のアプリケーションで有るが、それらの目的以上の情報収集を可能にするアプリケーション。例えば、子供が何処に居るのか?を保護者は把握したいという正当な欲求が有るが、この欲求を満たすためには、GPSで計測された位置情報さえ共有出来れば十分な筈で有る。こういった必要最低限の情報共有を目的としたアプリケーションは、通常ペアレンタルコントロールアプリケーションと呼ばれる。

 しかし、こういった監視アプリケーションの中には、度が過ぎた情報収集を行うものもある。例えば、位置情報は当然として、様々なアプリケーションのID/PW情報や、写真、連絡先といったプライベートな情報まで収集する。こういった度が過ぎた情報収集を行う監視アプリケーションはストーカーウェアと分類され、米国では問題視されつつあった。

■サイバー攻撃者や児童虐待にも悪用されるストーカーウェア

 ストーカーウェアは、サイバー攻撃者らによって悪用されることが度々報告されていた。サイバー攻撃者はユーザの同意無しに、AndroidまたはiOSのセキュリティを迂回してストーカーウェアをインストールし、アプリのインストールに成功したデバイスから、ログインユーザー名とパスワード、写真、連絡先、位置情報データ、オンラインアクティビティなどの個人情報を入手する。

 また、家庭内暴力が頻繁に行われているような家庭で、加害者が虐待者の行動を把握する目的で「ストーカーウェア」を虐待者のスマートフォンにインストール例なども報告されており、アプリの正当性を疑問視する声が上がっていた。

大元隆志
CISOアドバイザー

通信事業者用スパムメール対策、VoIP脆弱性診断等の経験を経て、現在は企業セキュリティの現状課題分析から対策ソリューションの検討、セキュリティトレーニング等企業経営におけるセキュリティ業務を幅広く支援。 ITやセキュリティの知識が無い人にセキュリティのリスクを解りやすく伝えます。 受賞歴:アカマイ社 ゼロトラストセキュリティアワード、マカフィー社 CASBパートナーオブ・ザ・イヤー等。所有資格:CISM、CISA、CDPSE、AWS SA Pro、CCSK、個人情報保護監査人、シニアモバイルシステムコンサルタント。書籍:『ビッグデータ・アナリティクス時代の日本企業の挑戦』など著書多数。

大元隆志の最近の記事