脆弱性の存在が指摘される消費者向けスパイウェア「pcTattletale」のサーバーがハッキングされ内部データが流出

アメリカ製の消費者向けスパイウェアアプリ「pcTattletale」がハッキングされ、公式サイト上で内部データを公開されるという事態が発生しました。pcTattletaleには脆弱性が存在しており、これを悪用してホテルの宿泊客の個人情報がインターネット上で流出するという事態が発生したばかりでした。

Spyware app pcTattletale was hacked and its website defaced | TechCrunch
https://techcrunch.com/2024/05/25/spyware-app-pctattletale-was-hacked-and-its-website-defaced/

pcTattletaleは「端末の持ち主が知らないうちに」あるいは「端末の持ち主の同意なしに」、端末を追跡することができるというスパイウェアです。一般消費者向けに販売されているものの、その追跡性能の高さから「ストーカーアプリ」と呼ばれることもあります。pcTattletaleにはAndroid版アプリとWindows版アプリが存在しており、アプリを仕掛けた人物は遠隔からインストールされた端末のデータをいつでも閲覧することが可能です。

2024年5月、ウィンダム・ディスティネーションズのホテルでチェックイン用コンピューターにpcTattletaleが仕込まれていたことが発覚。pcTattletaleはチェックイン用コンピューターのスクリーンショットを撮影しており、何者かがpcTattletaleに存在する脆弱性を悪用することで、宿泊客の個人情報を撮影したスクリーンショットをインターネット上に流出させていたことも明らかになっています。

ホテルのチェックイン用コンピューターでスパイウェアが見つかる、宿泊客の情報がスクリーンショットで撮影されインターネット上に流出 - GIGAZINE

そんなpcTattletaleがハッキングされ、公式サイト上にハッカーからのメッセージが表示されるという事態が発生しました。ハッカーは現地時間の2024年5月24日にpcTattletaleの公式サイト上にメッセージを投稿し、pcTattletaleのサーバーをハッキングしたと主張しています。pcTattletaleの公式サイト上にはサーバーから入手したと思しきファイルへのリンクが掲載されており、他にもpcTattletaleの脆弱性により流出したホテル宿泊客の個人情報と思しきものも公開されていたそうです。pcTattletaleの公式サイトがハッキングされたことを報じたテクノロジーメディアのTechCrunchは、「個人情報が流出した人への配慮から、pcTattletaleの公式サイトに掲載されていたURLは掲載していません」としています。

TechCrunchはpcTattletaleの創設者であるブライアン・フレミング氏に今回の件についてコメントを求めていますが、記事作成時点では返答を得られていません。ただし、これについてTechCrunchは「pcTattletaleのサービスが停止しているため、そもそもフレミング氏がメールを受信できるかどうかが不明です」としています。

pcTattletaleをハッキングしたハッカーは、ハッキングの具体的な動機を明らかにしていません。しかし、pcTattletaleに脆弱性が存在すると報告されてから数日後にハッキングが行われたことを、TechCrunchは強調しています。なお、pcTattletaleの脆弱性を報告したセキュリティ研究者のエリック・デイグル氏は、pcTattletaleが脆弱性の修正要求を無視しているため、詳細を明らかにしないまま脆弱性を公表しています。

pcTattletaleをハッキングしたハッカーは、デイグル氏が発見した脆弱性を悪用したわけではありません。しかし、「pcTattletaleのサーバーを騙し、スパイウェアの動作へのアクセスを許可するAmazon Web Servicesアカウントの秘密鍵を引き渡すことは可能だ」と主張しています。

TechCrunchの統計によると、近年スパイウェアメーカーを標的としたハッキングが多発しており、確認できるだけでも12件の被害が記録されているそうです。今回のように、被害者の個人情報が漏えいしたケースも複数回あります。なお、過去にハッキングされたことのあるスパイウェアメーカーには、KidsGuard、Xnspy、Support King、Spyhideなどがあります。