アメリカ製を装ったロシアのソフトウェアが8000個以上のアプリに組み込まれて米軍にも使われていたことが明らかに

App StoreやGoogle Playで配信されている何千ものスマートフォンアプリに含まれているコードが、アメリカの企業を装ったロシアのテクノロジー企業「Pushwoosh」により開発されたものであることが分かりました。当該アプリの一部はアメリカ疾病予防管理センターやアメリカ軍兵士が使用していました。

Exclusive: Russian software disguised as American finds its way into U.S. Army, CDC apps | Reuters
https://www.reuters.com/technology/exclusive-russian-software-disguised-american-finds-its-way-into-us-army-cdc-2022-11-14/

Pushwooshはプッシュ通知のSDKを開発している企業です。アプリ開発者は、このSDKを使ってユーザーに通知を送信したり、ユーザーを追跡したり、プロファイリングしたりできます。PushwooshのSDKが組み込まれたアプリは約8000個におよび、これまでに使われたデバイスは23億台に上るとのこと。

Pushwooshはアメリカの企業としてアメリカの規制当局に登録されていましたが、実際はシベリアにある都市のノボシビルスクに本社を置いていることがロイターの調べにより明らかになりました。

ロイターがPushwooshの事務所として登録されているアメリカの住所を訪ねると、Pushwooshの社屋は影も形もなく、Pushwoosh創設者の友人と名乗るロシア人の家があったそうです。そのロシア人は「創設者が郵便物を受け取るために住所を貸しただけです」と語ったとのこと。Pushwooshの創設者であるマックス・コーネフ氏はロイターの取材に対し、「ビジネス関係の書類を受け取るために使い始めました」と事実を認めたとのことです。

また、Pushwooshの幹部職員がLinkedInを使って営業を行った証拠も確認されましたが、使われたプロフィールは偽物だったことが明らかになっているそうです。

Pushwooshは「機密情報は収集しておらず、データを不正に扱った証拠もありません。データはアメリカとドイツに保存しています。我々はロシア政府とはいかなる関係もありませんし、ロシア系であることを隠そうとしたこともありません」と述べました。しかし、セイバーセキュリティの専門家は「たとえデータを海外に保管したとしても、ロシアの情報機関が強制的にデータへのアクセスを求めることは防げません」と指摘し、データの安全性に疑問を呈しました。

この報道を受け、アメリカ疾病管理予防センターがセキュリティ上の懸念を理由に7つのアプリケーションからPushwooshのSDKを削除しました。アメリカ陸軍も、同様の懸念からPushwooshのSDKを含むアプリを削除しています。

ロイターによると、Pushwooshによる情報の秘匿は法律に違反する可能性があるとのことで、今後連邦取引委員会や各種規制当局による取り締まりが行われると見られます。

なお、ソフトウェアの安全性を評価する非営利企業「Internet Safety Labs」が、PushwooshのSDKが使われたアプリをリストアップして公開しており、その中には日本のゲームアプリとおぼしき「-リアル闇金ゲーム- お姉さんから1億円回収しろ！」といったタイトルや、2022年12月31日にサービスを終了する徳島県の公式観光アプリ「徳島たびプラス」などが列挙されています。

Reuters Breaks Story on Dangerous SDK PushWoosh Found by ISL - Internet Safety Labs
https://internetsafetylabs.org/blog/news-press/reuters-breaks-story-on-dangerous-sdk-pushwoosh-found-by-isl/