他人のスマホ使用履歴を監視できるストーカーアプリ「LetMeSpy」がハッキングされ被害者のメッセージ履歴や位置情報が流出＆秘密だった開発者の情報も明らかに

他人のスマートフォンにこっそりインストールすることで送信メッセージや位置情報を追跡できる「ストーカーウェア」と呼ばれるアプリが数多く存在しています。そんなストーカーウェアの一種である「LetMeSpy」が何者かにハッキングされてSMSメッセージや位置情報を含む個人情報が流出したことが明らかになりました。

LetMeSpy, a phone tracking app spying on thousands, says it was hacked | TechCrunch
https://techcrunch.com/2023/06/27/letmespy-hacked-spyware-thousands/

スマートフォン向けアプリの中には「通話履歴やメッセージ内容、ブラウザの閲覧履歴、位置情報などを収集して外部から確認可能にする」という動作をする「ストーカーウェア」と呼ばれるものが存在しています。ストーカーウェアはGoogle Playなどのアプリ配布プラットフォームの使用履歴に残らないように公式サイトなどから直接配布されることが多く、「アプリアイコンをホーム画面に表示しない」「アプリ名をシステム関連の名前に偽装する」といった方法でインストール済みである事実を巧みに隠ぺいします。また、ストーカーウェアの一部はGoogle Playでも配布されており、家族や恋人、従業員などの行動を追跡したい人々によって広く用いられています。

LetMeSpyはGoogle Playを介さずに公式サイトから直接配布されるタイプのストーカーウェアで、公式サイトにログインすることで「通話履歴」「SMSの通信内容」「位置情報」を24時間追跡できることがアピールされています。

記事作成時点ではLetMeSpy公式サイトのログインページに「2023年6月21日に利用者のデータへの不正アクセスが発生しました」というメッセージが表示されており、不正アクセスによって「電子メールアドレス」「電話番号」「アプリで収集されたメッセージの内容」が流出したことが明かされています。

2023年1月29日時点のアーカイブを確認すると、LetMeSpyは23万6322台のスマートフォンにインストールされ、6351万29件のSMSメッセージ、3971万3227件の通話履歴、4321万8775件の位置情報を収集していることがアピールされています。今回の不正アクセスによって、これらの情報が攻撃者に窃取された可能性があります。

LetMeSpyから流出した情報は、すでにインターネット上に出回っているとのこと。流出情報を管理する非営利団体「DDoSecrets」が発見したという「LetMeSpyから流出した情報」を海外メディアのTechCrunchが分析した結果、流出情報には少なくとも1万3000台のスマートフォンの情報が含まれ、1万3400件以上の位置情報も含まれていることが明らかになりました。

さらに、LetMeSpyの開発者がポーランド在住のRafal Lidwin氏であることも明らかになりました。ただし、Lidwin氏はTechCrunchのコメント要請に応じていません。

一般的にアプリやサービスから個人情報が流出した場合、被害を受けた可能性のあるユーザーに対して通知が届きます。しかし、LetMeSpyのようなストーカーウェアはインストール済みであることそのものを隠すように設計されているため、被害を受けたユーザーに通知が届く可能性はかなり低いです。

TechCrunchによると、LetMeSpyは「LMS」という名前でAndroidデバイスにインストールされているとのこと。自分のスマートフォンに「LMS」がインストールされていないか確認し、インストールされている場合は削除しておくことをオススメします。