ストーカーアプリの開発会社が当局から監視技術の販売禁止を命じられる

アメリカにおける公正な取引を監督・監視する連邦取引委員会(FTC)が、「ストーカーアプリ」と呼ばれる端末の位置情報などを追跡する監視アプリを開発する企業に対して、監視技術の販売を禁じると通知しました。

FTC Bans SpyFone and CEO from Surveillance Business and Orders Company to Delete All Secretly Stolen Data | Federal Trade Commission
https://www.ftc.gov/news-events/press-releases/2021/09/ftc-bans-spyfone-and-ceo-from-surveillance-business

FTC bars alleged 'stalkerware' exec from the surveillance business
https://www.cnbc.com/2021/09/01/ftc-bars-alleged-stalkerware-exec-from-the-surveillance-business.html

FTC proposes first stalkerware ban, promises to toughen stance on abusive apps - CyberScoop
https://www.cyberscoop.com/ftc-spyfone-stalkerware/

FTC bans 'stalkerware' company from operating in surveillance industry | TheHill
https://thehill.com/policy/cybersecurity/570427-ftc-bans-stalkerware-company-from-operating-in-surveillance-industry

FTC bars 'stalkerware' app company, exec from surveillance biz | Reuters
https://www.reuters.com/legal/government/ftc-bars-stalkerware-app-company-exec-surveillance-biz-2021-09-01/

FTC bans stalkerware maker Spyfone from surveillance business
https://www.bleepingcomputer.com/news/security/ftc-bans-stalkerware-maker-spyfone-from-surveillance-business/

FTCは、「SpyFone」と呼ばれるAndroidアプリを開発・提供しているSupportKingという企業と、同社のスコット・ザッカーマンCEOが、同社のアプリを通じて「デバイスを隠れてハッキングし、人々の身体的な動き、電話の使用履歴、オンライン活動などの情報を密かに収集・共有した」と指摘。FTCによると、SupportKingは「アプリを通じた対象の監視にリアルタイムでアクセスできる権利」を顧客に販売していたとのことで、ストーカーや虐待のツールとして役立った可能性が指摘されています。

SpyFoneの在り方を問題視したFTCは、SupportKingとザッカーマンCEOが今後監視技術を販売・宣伝することを禁止すると発表。加えて、「SpyFoneを使ってユーザーへの通知なしで密かに収集した違法なデータの削除」および「アプリが密かにインストールされていることを端末の所有者に通知すること」をSupportKingに命じています。

SupportKing | Remote support company for Android, Apple and Windows devices. We specialize in mobile support and data recovery.

SpyFoneを購入した利用者が同アプリを利用して特定の対象を監視するには、Android搭載スマートフォンの保証を無効にし、端末をセキュリティリスクにさらす可能性のある方法を採る必要があったとのこと。なお、SpyFoneはユーザーに「監視対象からアプリを隠す方法」を解説し、端末の所有者がSpyFoneの存在に気づけなくなるよう利用者を誘導していた模様。

また、FTCは「SpyFoneには基本的なセキュリティ対策が欠けていた」と指摘し、これが2018年にSupportKingが経験したデータ侵害につながり、約2200人の顧客データ流出につながったと非難しています。加えて、SupportKingはデータ侵害後に顧客に対して「セキュリティをアップデートする」と約束していたものの、それを実際の行動に移さなかったとも指摘しました。

FTCが企業に対してこのような厳しい措置を実施したのは今回が初めてのこと。なお、FTCは今回の禁止措置が「最後ではない可能性が高い」としており、今後、別の企業が同じように監視事業からの追放措置を受ける可能性があります。

FTCの消費者保護局で代理ディレクターを務めるサミュエル・レバイン氏は、今回の措置について「今回の事例は監視ベースのビジネスが我々の安全とセキュリティに重大な脅威をもたらすことを思い出させるものでした。企業とその幹部が人々のプライバシーをひどく侵害した場合、我々は監視ベースのビジネスを停止するよう積極的に求めていくつもりです」と述べました。

FTCのコミッショナーを務めるRohit Chopra氏は、今回の決定について「FTCの過去のアプローチから考えると、重要な変化である」と述べています。ストーカーアプリについては、2019年に初めてFTCに苦情が舞い込んでいたのですが、当時のFTCはアプリメーカーにプライバシー保護の改善と、ユーザーに「自身の子ども、あるいは企業の従業員、あるいは監視に合意した大人にのみ監視アプリを使用していることを確認するように」と通知しただけで、今回のような厳しい措置が取られることはありませんでした。

「監視技術」を称し、監視対象の端末に秘密裏にインストールされるSpyFoneのようなストーカーアプリは何年も前から存在しており、その多くが家庭内暴力や嫌がらせの被害者を追跡・脅迫するために使われています。セキュリティ企業の報告によると、この種のストーカーアプリは新型コロナウイルスのパンデミック期間中にさらに広く使われるようになったとのことです。

なお、Chopra氏は「FTCだけではストーカーアプリを有意義に取り締まることができないと憂慮しています」「連邦および州の法執行者がストーカーアプリの使用や違法な監視と戦うために、刑法の適用可能性について積極的に検討することを期待します」と述べ、FTCだけでなく国全体でストーカーアプリと戦っていくことが重要であると述べました。