セキュリティ

監視アプリの「mSpy」が数百万人分の顧客情報を流出、3年で2度目の大規模漏えい

by Markus Spiske

モニタリングアプリを提供する「mSpy」が、有料顧客数百万人分のパスワード・通話記録・メッセージ・連絡先・位置情報などを流出していたことを明らかにしました。mSpyがユーザーの個人情報を漏えいするのは過去3年で2度目となります。

For 2nd Time in 3 Years, Mobile Spyware Maker mSpy Leaks Millions of Sensitive Records — Krebs on Security
https://krebsonsecurity.com/2018/09/for-2nd-time-in-3-years-mobile-spyware-maker-mspy-leaks-millions-of-sensitive-records/

セキュリティ研究者のNitish Shah氏が、mSpyの公式サイト上で行われたトランザクションと、mSpyのソフトウェアが携帯電話から収集した情報の両方を照会することができるオープンデータベースを発見しました。

このデータベースは記事作成時点では既にオフラインとなっており使用不可能ですが、mSpyユーザー数百万人分のユーザー名・パスワード・プライベート暗号化キーなどを含むデータが保管されていたそうで、何者かが不正に情報を公開していたことは明らかです。なお、公開されていた情報の中の「プライベート暗号化キー」があれば、誰でもmSpyのソフトウェアを実行しているモバイル機器の詳細を追跡可能になるとのこと。

また、データベース上にはAppleのiCloudアカウント名、認証トークン、およびiCloudバックアップファイルも含まれていたそうです。Shah氏は、mSpyのソフトウェアをインストールしたモバイル端末からアップロードされた、WhatsappやFacebookのメッセージを閲覧することもできたと話しています。


データベースに保管されていたその他の情報は、顧客名・メールアドレス・住所・支払額などで、過去6カ月の間にmSpyライセンスを購入した際の取引詳細も含まれていたそうです。また、公開されていたデータにはmSpyユーザーのログも含まれており、mSpyの公式サイトにアクセスしたユーザーのブラウザ情報およびIPアドレスも記されていた模様。

Shah氏はユーザー情報の漏えいをmSpyに伝えましたが、同社のサポート担当者からは無視されてしまったそうです。その後、セキュリティブログのKrebs on SecurityがmSpy側に警告し、その後、ようやくmSpyのセキュリティ責任者から連絡を受け取ります。アンドリューと名乗るmSpyのセキュリティ責任者は、「ハッキングや攻撃、個人情報の漏えいからシステムを保護するため、我々は懸命に取り組んできました。すべての顧客アカウントは安全に暗号化されており、データは短期間で消去されます」とmSpyのセキュリティ面が万全であると主張しています。


mSpyは2015年5月にも1度ハッキングされており、顧客データをダークウェブ上で公開された経験があります。当時、ダークウェブ上に公開されたデータから、多くのユーザーがmSpyのデータベースがハッキングされたことを理解したのですが、mSpyは1週間以上にわたりハッキングにあった事実を認めませんでした。その後、最終的にmSpyはハッキングされたことを認め、自分たちは攻撃の被害者であり、「脅迫者側の金銭的な要求には応じていない」とBBC上で説明しています。

mSpyの公式サイトによると、アメリカ・ドイツ・イギリスにオフィスが存在することは明らかになっていますが、所在地は記載されていません。ただし、ウェブサイトの登録記録によると、mSpyはイギリスのMTechnology LTDと呼ばれる企業とつながっていることが明らかになっています。なお、MTechnology LTDは既に存在しません。


イギリス企業の公式登録機関であるCompanies Houseから入手した文書によると、mSpyの創立メンバーはAleksey Fedorchuk氏とPavel Daletski氏で、プログラマーであると記されています。同文書によると、Daletski氏はイギリス市民で、Fedorchuk氏はロシア出身の人物であることが判明していますが、どちらの人物からもコメントを得ることはできなかった、とKrebs on Securityは記しています。

mSpyは、最強のモニタリングアプリです。
https://www.mspy.jp/


なお、mSpyがライバル企業のRetina-X Studiosから商標紛争を起こされた際の裁判所書類がアメリカ・フロリダ州ジャクソンビルの地方裁判所に残っており、これによるとmSpyはカリフォルニア州マウンテンビューに拠点を置く企業で、Daletski氏はBitex Groupに籍を置く人物であると記されています。

Krebs on Securityは、「アメリカの規制当局や法執行機関はmSpyのようなモバイルスパイウェアサービスを提供する企業を注視していない」と記していますが、2014年9月にはアメリカ当局がmSpyのようなスパイウェアアプリを販売するStealthGenieという企業のハマド・アクバルCEOを逮捕しています。なお、司法省によればアクバル氏は「犠牲者の機密通信に侵入するようなスパイウェアを宣伝・販売する、という犯罪活動を認めた初めての事例」であるとのこと。

なお、mSpyは同社ユーザーの約40%が子どもの保護に熱心な親であると述べています。

・つづき
モバイルスパイウェア「mSpy」から個人データを含む数百万件のカスタマーサポートチケットが流出、なんとこれで3回目 - GIGAZINE

この記事のタイトルとURLをコピーする

・関連記事
3億4000万件分の個人情報が公開サーバー上に保存されていたことが判明、被害範囲は「ほぼすべてのアメリカ人」か - GIGAZINE

ホンダの海外法人が5万人分を超える顧客情報をクラウド上で公開していた - GIGAZINE

約9200万人の個人情報がDNA解析サービス「MyHeritage」から流出 - GIGAZINE

Altaba(元Yahoo)が過去の個人情報漏洩事故を2年間隠ぺいしていたとして38億円の罰金を科せられる - GIGAZINE

IoT製品が家庭に普及すると情報漏れ放題という恐ろしい未来が到来しかねない - GIGAZINE

in モバイル,   ソフトウェア,   セキュリティ, Posted by logu_ii

You can read the machine translated English article here.