スマートフォンを通じて子どもやパートナーの行動を監視すると謳うAndroidアプリ「Catwatchful」が、深刻なセキュリティ問題を抱えていることが明らかになっている。
ホワイトハッカーのエリック・デイグル氏がこのアプリの調査を行い、約6万2000名のユーザー情報と2万6000台のデバイスデータが流出した可能性を自身のブログで報告。
この事件は、プライバシーを侵害する「ストーカーウェア」と呼ばれるアプリの危険性を改めて浮き彫りにした。
「子どもを守る」名目の裏に隠された実態
Catwatchfulは「子どもの安全を守るためのツール」として宣伝されているが、実際にはスマートフォンの写真、メッセージ、位置情報、さらにはマイクやカメラを通じた音声・映像を、ユーザーに気づかれずに収集するスパイウェアだったという。
こうしたアプリは、親が子どものスマートフォンを管理するだけでなく、配偶者やパートナーを不正に監視する目的でも使われることが多く、深刻なプライバシー侵害やストーキング被害を引き起こす危険性が指摘されている。
デイグル氏は、無料トライアルを利用してこのアプリの仕組みを調査。
アプリが収集したデータは、セキュリティが強固なGoogleのFirebaseデータベースと、独自のサーバー「catwatchful.pink」に保存されていることを発見した。
しかし、catwatchful.pinkのサーバーには致命的な欠陥があり、専門知識を持つ者が簡単にアクセス可能な状態だったという。
セキュリティの「穴」を突いた調査
デイグル氏は、catwatchful.pinkのサーバーに「SQLインジェクション」と呼ばれる攻撃手法を試みている。
この手法は、データベースに不正な命令を送り込むことで内部情報を引き出すものだ。
内部には約6万2000人分のユーザーIDやパスワード、さらには被害者のデバイス情報が確認されている。
これにより、理論上、Catwatchfulの全アカウントを操作できる状態になったと報告されている。
流出したデータからみるに、被害者のデバイスは主にメキシコ、コロンビア、インド、ペルーなどの国に集中しており、最古の記録は2018年に遡る。
また、データベースからはCatwatchfulの開発者の身元も判明。
デイグル氏はIT系メディア「TechCrunch」と協力し、開発者にこの問題を通知するメールを送るが、返答はなかったとされている。
被害拡大と企業の対応
TechCrunchの取材を受けたホスティング企業は、Catwatchfulのサーバーを一時停止したものの、その後別のサーバーでサービスが復旧。
セキュリティ対策が不十分なまま運用が続いている状況だという。
一方、GoogleはFirebaseを利用するアプリが規約を遵守する必要があると述べ、調査を進めるとしているが、記事執筆時点ではCatwatchfulは依然としてFirebase上で稼働中とのこと。
ユーザーの対策は?
この事件は、スマートフォンアプリの裏に潜む危険性を改めて示している。
特に、子どもや家族の安全を名目にしたアプリには注意が必要となる。
以下は、自身や家族を守るための簡単な対策。
・信頼できるアプリを選ぶ
公式ストア(Google Playなど)で提供されているアプリでも、開発者の評判やレビューを確認する。
・不要な許可を拒否する
アプリがカメラやマイク、位置情報へのアクセスを求める場合、本当に必要か慎重に判断。
・定期的なデバイスチェック
知らないアプリがインストールされていないか、設定画面で確認する習慣をつける。
デイグル氏は、「このようなアプリは、ユーザーの信頼を悪用し、プライバシーを脅かす」と警告。
私たち一人ひとりがデジタル環境での安全意識を高めることが、こうした問題を防ぐ第一歩となるとされる。
【参考記事】
https://gigazine.net/news/20250709-catwatchful-sql-injection/
https://news.ycombinator.com/item?id=44455707&utm_source=chatgpt.com
https://securityboulevard.com/2025/07/catwatchful-stalkerware-data-breach-richixbw/?utm_source=chatgpt.com