調査報道ジャーナリストのMaia Arson Crimewは、最近のブログ投稿で明らかにしたところによると、2024年2月に重要な情報提供を受けたという。SpyX、MSafely、SpyPhoneという3つの監視プラットフォームにまたがるユーザーの詳細な購入履歴を収録した、露出したレポーティング用ユーティリティが見つかったのだ。データは約2年間ほとんど精査されないままだったが、別件の異なる侵害を調べる過程で再び検討された。その後の分析により、一見目立たないこれらのサービスが、はるかに強力な産業的装置を覆い隠していることが判明した。
ストーカーウェアの運営者は、市場調査のため、あるいは機能コードを直接盗用するために、競合他社のエコシステムへ頻繁に侵入しているようだ。競合サービスのサポートデータベース内でSpyXのメールアドレスが見つかったことが、合理的な出発点となった。記録によれば、SpyXに関係する人物がサブスクリプションを購入し、返金を要求し、その後クレジットカード不正利用を主張して取引に異議を唱えたという。報復として、標的となった企業は決済代行業者に包括的な資料一式を提出し、部分的に黒塗りされていたものの、カード名義人の氏名と金融機関名は残っていた。こうした手がかりにより、仮面の背後にいる実在の人物を特定できた。
SpyXの問い合わせ窓口は、香港および英国で法人化された事業体を指しており、いずれもGbyte Technologyのブランドで運営されていた。英国の企業登記は、Xiunde Chengを取締役として特定した。同社の中国語名称を突き合わせることでGbyteの企業ポータルと、採用プラットフォームBOSS直聘上のプロフィールに行き着き、そこには深圳オフィスの写真(室内のパノラマビューを含む)が掲載されていた。
これらの情報源から、Gbyteは2022年に設立され、国際市場を主戦場としてモバイル・フォレンジック向けツールを販売するという戦略的焦点を持っていたことが分かった。同社は10年以内のIPOを目標に掲げ、従業員の半数が研究開発に従事し、しばしば学術機関と協力していると誇っていた。
その後、調査者はユーザーの注文情報だけでなく、完全なアカウントデータベース、被害者のテレメトリ、さらにはiCloudやGoogleのパスワードを含む平文の認証情報まで流出させた。セキュリティ対策は事実上存在せず、特定のAPIエンドポイントを知っているだけでアクセスできた。さらに、重大な欠陥によりストーカーウェアの管理コンソールへ無制限にアクセスできる状態だった。
この種の侵害は、スパイサービスそのものの設計者を暴き出すことが多い。データセットにはXiunde Chengに紐づくメールアドレスが含まれており、OSINT手法によってその人物像が再構築された。Joen Chenという別名でも活動するChengは1988年生まれで深圳在住、北京交通大学でコンピュータサイエンスの学位を取得している。Gbyte設立以前はWondershareでチーフ・セキュリティ・アーキテクトを務め、モバイルプラットフォームのリバースエンジニアリングを専門としていた――まさにSpyXが構築された基盤そのものである。
Wondershare在籍中、ChengはiCloudとGoogleのセキュリティプロトコルを回避する手法を考案し、ユーザーの認証情報だけで同期されたクラウドデータへアクセスできるようにした。これらの技術は、SpyXがiOSおよびAndroid端末を遠隔監視するために用いられている。注目すべきことに、このサービスは二要素認証(2FA)で保護されたアカウントにも侵入可能であり――これは現代の競合の大半が実現できていない能力だ。
付随するリスクとして、GbyteのサービスはGoogleアカウントによる登録を許可しており、ユーザーベースの約60%がこの方法を利用している点が挙げられる。Googleがこの連携を停止すれば、サービスは瞬時に膨大な利用者を失うことになる。
データによればGbyteは少なくとも20人を雇用しているが、ストーカーウェアによる累計収益はわずか50万ドル程度と推定されている。この規模の企業を維持するには不十分であり、別の収益源の存在を示唆している。実際、管理パネルには露出したGitHub APIキーがあり、GPS偽装アプリ、MMOのキャラクターレベリング代行、Elden Ringのゲーム内通貨ストア、AIによるコピーライティングツール、モバイルデータ復旧ユーティリティなど、多岐にわたるプロジェクトのソースコードへアクセスできた。総合すると、Gbyteのストーカーウェアサービスは約150万人の登録ユーザーを抱えるとされる。
AppleおよびGoogleのクラウドデータへのアクセスを制御する具体的なコードは漏えいの範囲外だったが、閲覧可能だった断片は脆弱性だらけだった。注文詳細、ユーザープロフィール、端末テレメトリ(平文パスワードやリアルタイム位置情報を含む)が、複数のサービスで露出していた。
これらの調査結果が公表される前に、GbyteとXiunde Chengにはこうしたシステム上の欠陥が通知されていたが、彼らは回答もせず、脆弱性の修正も行わなかった。このデータの一部はすでにHave I Been Pwnedのデータベースに取り込まれており、更新されたデータセットはApple、Google、そして信頼できる研究者へ提供されつつある。
