mSpy、モバイルスパイウェア企業がハッキングされ、数千人の顧客データがダークウェブに漏洩

モバイルスパイウェア企業mSpyがハッキングされ、クライアントデータがサイバーブリーにさらされる

mSpyは、ダークウェブにデータベースが出現したモバイルスパイウェア企業で、先週深刻なハッキングを受けたようです。どうやら、mSpyユーザーのテキストメッセージ、メール、Apple ID、支払い詳細、パスワード、写真、位置情報データなどの膨大な量のデータがダークウェブに投稿されており、これはKrebsOnSecurityウェブサイトによって報じられた、まだ確認されていない侵害の話です。

mSpyの技術は、親や雇用者が子供や従業員を秘密裏に監視する手段として販売されています。企業の説明によれば：

mSpyは、子供を見守り、盗難を防ぎ、従業員のパフォーマンスを監督するための最も人気があり、使いやすいアプリケーションです。モバイル監視ソフトウェアは、ターゲットデバイス上で目に見えずに動作し、通話履歴、GPS位置情報、カレンダーの更新、テキストメッセージ、メール、ウェブ履歴など、すべての活動を追跡します。

200万人のユーザーを持ち、Windows、iOS、Android、Mac PC向けの技術を開発しているこの企業は、明らかな侵害についてまだコメントしていません。漏洩の背後にいる未知のハッカーは、データベースがTor経由でのみアクセス可能な40万人以上のmSpyの詳細を含んでおり、Apple IDと関連するパスワード、追跡データ、および約145,000件の成功した取引に関する支払い詳細を含んでいると示唆しています。Torは、ユーザーが真のインターネットアドレスを隠し、非常にハッキングされにくいウェブサイトをホストできる技術です。

mSpyが被害者として同情を感じることはほとんどなく、明らかな侵害の真の被害者は企業そのものではなく、スパイのターゲットであることは間違いありません。

Metasploitの製造元Rapid7のグローバルセキュリティストラテジスト、Trey Fordは次のようにコメントしました。「スパイされている人々は、一方の当事者によって情報を盗まれており、それが地下で急速に流通しています。

「このソフトウェアをインストールすることの合法性は疑わしい（CFAAなど）だけでなく、デバイスにこのソフトウェアを持っている人々は、制御されていない情報開示によって自分の生活が明らかにされてしまっています。この犯罪の被害者が損害の程度を理解するのは非常に長い間、あるいは決して理解しない可能性が高いです」と彼は付け加えました。

「これは、敏感な情報が必ずしも規制や監査人によって保護されていないことを強調しています。企業の幹部は、収集されたデータ、データの保存と保護の方法、何かが起こったときに何をすべきかについて責任を持つ情報の所有者です」と彼は付け加えました。

著名で尊敬されているジャーナリストのブライアン・クレブスは、データダンプの調査から「このキャッシュには、写真、カレンダーのデータ、企業のメールスレッド、非常にプライベートな会話を含む、膨大な量の個人情報と敏感なデータが含まれていることは明らかです。また、データダンプには、mSpyの監視ソフトウェアに対して8.33ドルから799ドルまでのさまざまなサブスクリプションを支払った世界中の人々からの数千件のサポートリクエストメールも含まれています。」

mSpyの本社がどこにあるのかは明確ではありません。会社のウェブサイトには公式な物理的住所が記載されていないようで、アメリカ、ドイツ、イギリスにオフィスがあることを示唆しています。一方で、歴史的なウェブサイト登録記録は、同社がイギリスに拠点を置く現在機能していない企業MTechnology LTDに関連付けられていることを示しています。

イギリスの公式な法人登録所であるCompanies Houseから取得した文書は、会社を設立した2人のメンバーが自己紹介したプログラマーであるパベル・ダレツキーとアレクセイ・フェドーチュクであることを示しています。これらの記録（PDF）は、ダレツキーがイギリス市民であり、フェドーチュク氏がロシア出身であることを示しています。彼らのいずれにもコメントを求めることはできませんでした。

フロリダ州ジャクソンビルの米国地方裁判所から取得した裁判所の文書（PDF）によると、mSpyとダレツキーに関する商標紛争について、mSpyはカリフォルニア州マウンテンビューの800 West El Camino Realに米国拠点の住所を持っているとされています。同じ裁判所の文書は、ダレツキーがセーシェルに拠点を置くBitex Group LTDという企業の取締役であることを示しています。この訴訟は、興味深いことに、フロリダ州ジャクソンビルに拠点を置くmSpyの競合企業であるRetina-X Studiosによって提起されました。

法執行機関と米国の規制当局は、mSpyのようなモバイルスパイウェアサービスを提供する企業に対して明確な見解を持っています。mSpyは、製品が脱獄されていないiPhoneでも機能することを説明しており、ユーザーはデバイスの所有者の連絡先、テキストメッセージ、通話履歴、イベント、ブラウザ履歴、メモにログインできます。

同社のFAQには、「脱獄なしでmSpyを購入することを選択した場合、モバイルユーザーのiCloud認証情報を持っていれば、デバイスへの物理的アクセスは必要ありません。ただし、物理的アクセスが必要な場合もあります。脱獄されたiOSフォンまたはタブレット用にmSpyを購入する場合、成功したインストールのためにデバイスへの物理的アクセスが5〜15分必要です。」と記載されています。

2015年3月、mSpyの広報担当者はKrebsOnSecurityに対し、同社のユーザーの約40％が子供を見守りたいと考えている親であると述べました。この声明が真実であると考えると、この侵害によって多くの親が知らず知らずのうちに子供をいじめっ子や捕食者、その他のオタクにさらしてしまったのはばかげています。