忘れ去られた一つのクラウドフォルダ。9万件ものスクリーンショット。これは、プライベートなテキストメッセージを送ったり、ぼやけたセルフィーを撮ったりしたことのある人なら誰でも悪夢にうなされるような事態だ。これは遠い未来の話ではなく、ある欧州セレブリティのデジタルライフを、世界中に丸裸にした、恐ろしく個人的な暴露である。
そして、その犯人は? ストーカーウェアだ。あなたのスマホに気づかれずに忍び込み、最もプライベートな瞬間を盗み出すために設計された、陰湿なソフトウェアだ。テキスト、写真、位置情報――デジタルなあらゆるものが対象となる。デジタルライツの専門家たちは、この点を長年訴えてきた:プライバシー侵害はもちろんのこと、その盗み取られたデータは、全く別の誰かに再び盗まれる可能性があるのだ。
Black Hills Information Securityの研究者、Jeremiah Fowler氏が、この特異な悲劇に遭遇した。公開され、セキュリティ対策が施されていないクラウドストレージ。その中には、なんと9万件ものスクリーンショットがあった。すべてが一人のセレブリティのものだ。すべてがプライベートなメッセージ、写真、スマホの利用状況を示していた。これはプライバシー侵害の連鎖だ。
「セルフィーはすべて一人の人物のもの、チャットもすべて一人の人物とのもので、基本的に彼がチャットしていた全員が、Instagram、Facebook、TikTok、WhatsAppに分類されていた。多くのヌード写真があり、公にしたくないような写真もたくさんあった」と、Black Hills Information Securityの研究者で、流出したデータを発見したJeremiah Fowler氏はWIREDに語っている。
これは単なる idle snooping(無為な詮索)ではなかった。Fowler氏の分析によれば、親密な会話、請求書や部分的なクレジットカード番号を含むビジネス取引、そして眩暈がするほどの個人情報が明らかになった。この示唆するところは深刻だ:ストーカーウェアの被害者は、唯一の犠牲者ではない。彼がコミュニケーションを取っていたすべての人々が、潜在的に危険に晒されているのだ。
これは典型的な企業のミス設定ではない。もちろん、そういうことも起こる。企業はサーバーのドアを開けっ放しにして、企業秘密を漏洩させる。しかし、これは個人的なものらしい。個人のデータが収集され、そして不注意に放置されていたのだ。Fowler氏は適切な行動を取り、それを報告し、クラウドプロバイダーと協力してロックダウンさせた。プロバイダーは最終的にオーナーに連絡したが、データはすでに露呈していた。
特に damning(決定的な)なのは、リポジトリの名前だ:「Cocospy」。聞き覚えがあるだろうか? Cocospyは、デジタル版のマスターキーを持った覗き見趣味の人間、と言ってもいい。セキュリティ研究者たちは、この種の市販のスパイウェアを以前から指摘してきた。実際、Cocospyとその関連アプリは、ユーザーデータを暴露したという理由で昨年崩壊した。ある脆弱性により、誰でも収集された情報にアクセスできるようになり、数百万件ものCocospy顧客のメールも漏洩した。まさにパーティー状態だった。
なぜこうなったのか? Cocospyの悲劇
Vangelis Stykas氏(Kumio AIの共同創設者兼CTO)のような研究者たちは、これらのアプリを徹底的に分析してきた。「Android上のマルウェアは、完全なスパイウェアだった」とStykas氏は指摘する。「スマホからあらゆるものを、彼らのクラウドにアップロードするだけだ。」Cocospyは特に、「ステルスモード」を搭載し、数分ごとにスクリーンショットを撮っていた。想像してみてほしい。数分ごとに、あなたの画面――あなたのプライベートな世界――がキャプチャされ、アップロードされるのだ。
Cocospyのウェブサイトのアーカイブ版、その全盛期の遺物は、ペアレンタルコントロールとリモート監視の絵を描いている。「位置情報、メッセージ、通話、アプリを追跡する」と、それは自慢していた。「リモートで、100%隠密に実行する。」ストーカーにとっては隠密だったかもしれない。しかし、被害者にとっては、これは悪夢の目覚めだ。
Cocospyの機能リストは、プライバシー弁護士の最悪の悪夢だった。連絡先の閲覧、WhatsAppチャットの読み取り、ターゲットが指定されたエリアから外れたときの通知、さらにはウェブ閲覧履歴の詮索まで。「Cocospyは真のスパイアプリで、検出はほぼ不可能」とウェブサイトは自慢していた。ほぼ、だ。結局のところ、9万件ものスクリーンショットを暴露するのは、 pretty noticeable(かなり目立つ)な検出方法だったのだ。
この一連の sordid affair(汚い話)は、私にヴィクトリア朝時代のプライベートな手紙収集への執着を思い出させる。当時はスキャンダラスだと考えられていたが、今では恐ろしいほど効率的だ。技術は変わったが、他人の最も内奥な人生を侵害したいという欲求は、人間の条件における、一貫した、醜い糸として残っている。そして、これらのストーカーウェアツールは、その最も暗い衝動を可能にするデジタルな道具なのだ。
ストーカーウェアは本当に追跡不可能か?
いや、完全にではない。これらのアプリはステルス性を目指しているが、Cocospyのようなサービスでの過去のデータ漏洩が証明したように、その運用インフラは脆弱になりうる。セキュリティ研究者は、これらのツールを積極的に追跡・分析している。さらに、法的な枠組みは、そのようなスパイウェアの悪用に対処するために進化しているが、執行は依然として課題である。
このセレブの訴訟はストーカーウェアをなくすのか?
unlikely(ありそうもない)。注目度の高い訴訟は、運営者や開発者に対する法的な行動を促すかもしれないが、このような侵入的な監視ツールの需要は根強く残っている。根本的な動機――嫉妬、支配欲、覗き見――は消えることはない。新しいアプリが出現したり、既存のアプリがリブランドされたりするだろう。
ストーカーウェアを疑う場合、どうすればいいか?
直ちにデバイスを隔離する:Wi-Fiとモバイルデータをオフにする。信頼できるモバイルセキュリティスキャンを実行する。クラウドアカウントから始めて、すべてのパスワードを変更する。機密性のない、不可欠なデータのみをバックアップした後、デバイスの工場出荷時リセットを検討する。疑わしい活動については、法執行機関に報告し、法的助言を求めることを検討する。
