木曜日, 7月 10, 2025
木曜日, 7月 10, 2025
- Advertisment -
ホームニューステックニュース6万人超のユーザー情報、SQLインジェクションで流出!
テックニュース

6万人超のユーザー情報、SQLインジェクションで流出!

インモビ運営局
By インモビ運営局
0
0
6万人超のユーザー情報、SQLインジェクションで流出!

スパイウェア「Catwatchful」の脆弱性を突いた大規模データ侵害

2025年7月9日、エリック・デイグル氏というホワイトハッカーが、Androidスパイウェアアプリ「Catwatchful」の脆弱性を利用し、約6万2000件のユーザーアカウント情報を取得したことが報告されました。この情報はデイグル氏のブログで発表され、詳細が明らかにされています。

Catwatchful スパイウェア

Catwatchfulとは?

Catwatchfulは、親が子供を監視するためのツールとして販売されていますが、その実態はユーザーの写真やメッセージ、位置情報などを無断で収集するスパイウェアです。デイグル氏はこのアプリの調査を通じて、収集されたデータがFirebaseと「catwatchful.pink」という独自のデータベースに保存されていることを発見しました。

データベース構造

SQLインジェクション攻撃の詳細

デイグル氏は、CatwatchfulのAPIエンドポイントにSQLインジェクションを仕掛けることで、MySQLデータベースの脆弱性を発見。これにより、「user」テーブルから約6万2000人分のユーザーIDと平文パスワード、さらに被害者のデバイスに関する情報を取得することに成功しました。これにより、氏は実質的にサービス上の全アカウントを制御できる状態となりました。

侵害の例

被害者の状況とその後

侵害されていたデバイスの多くはメキシコ、コロンビア、インド、ペルーなど、南米諸国に集中していました。データは2018年頃から収集されていたと見られています。デイグル氏は、Catwatchfulの管理者に対し、データ侵害についての認識やデータベースの脆弱性について質問を送信しましたが、返答は得られませんでした。

その後、CatwatchfulのAPIをホストしていたウェブ企業は、スパイウェアのアカウントを一時停止し、その動作をブロックしましたが、その後APIは再び復旧しました。ホスティングプロバイダーのHostGatorはこの件についてのコメントには応じていません。

Catwatchfulの復旧状況

まとめと問題点

TechCrunchは、デイグル氏から得た個人情報をデータ侵害通知サービス「Have I Been Pwned?」に提供。Firebaseに関しても、Googleに通報しました。Googleは、Firebaseを使用するすべてのアプリが利用規約を遵守する必要があるとし、調査を進めると述べました。

Catwatchfulの公式サイトは一時的に停止されましたが、すぐに別のドメインでサービスが再開されました。このような事例は、オンラインプライバシーやセキュリティに関する重要な議論を喚起しています。特に、スパイウェアの悪用やユーザー情報の保護の重要性がますます高まっていることを示しています。

🧠 編集部より:

補足説明:SQLインジェクションとスパイウェアについて

SQLインジェクションとは?

SQLインジェクションは、悪意のあるユーザーがアプリケーションのデータベースに対して不正に操作を行う手法です。これにより、攻撃者は機密情報にアクセスしたり、データを改ざんしたりすることが可能となります。今回の「Catwatchful」のケースでは、エリック・デイグル氏がこの手法を用いて、スパイウェアが保持していた約6万2000件のユーザー情報を掌握しました。

スパイウェア「Catwatchful」の概要

「Catwatchful」は、子どもを監視することを目的としたAndroid向けスパイウェアで、無許可でスマートフォンの情報を収集します。収集されるデータには、写真、メッセージ、位置情報、マイク音声、カメラ映像などが含まれています。このようなデータは、プライバシー侵害の観点から大きな問題を引き起こします。

脆弱性の発見と対応

デイグル氏が発見した脆弱性は、特にAPIの「getDevice」というエンドポイントに関連していました。このAPIは認証なしでアクセスできたため、SQLインジェクションによって簡単にユーザーデータにアクセスできてしまったのです。

用語や技術に関する詳しい解説は以下のリンクで確認できます:

意義ある行動と今後の課題

デイグル氏は、情報が流出したことについて、Catwatchfulの開発者に直接問い合わせましたが、返答はありませんでした。また、TechCrunchはデータ侵害通知サービス「Have I Been Pwned?」に情報を提出し、GoogleにはFirebaseの違反を報告しましたが、Catwatchfulは依然としてFirebaseでホストされている状態です。

豆知識

スパイウェアは多くの場合、合法的な用途を装ってユーザーを騙すため、これらのアプリをインストールする前にしっかりと勉強し、レビューを確認することが重要です。加えて、Androidユーザーにおいては、Google Play Protectを活用して、悪意のあるアプリからの保護を強化できます。

今後もこのようなセキュリティ脅威に対しては注意が必要です。詳しい情報については、以下のリンクも参考にしてください:

この問題を通じて、個人情報の保護とサイバーセキュリティ対策の重要性が再確認されました。


  • キーワード: SQLインジェクション

Catwatchful をAmazonで探す Firebase をAmazonで探す SQLインジェクション をAmazonで探す

※以下、出典元 ▶ 元記事を読む

Views: 0

前の記事
Elder Scrolls IV:Oblivion Remastered -Update 1.2
次の記事
「鬼滅×クロックス」炭治郎のクロッグ登場!
RELATED ARTICLES

返事を書く

あなたのコメントを入力してください。
ここにあなたの名前を入力してください

- Advertisment -

ABOUT US

inmobilexion(インモビ)は、動画・ニュース・サイト紹介を中心に、信頼性の高い情報をわかりやすくお届けする情報プラットフォームです。 「in-mobile」×造語の"〜xion"から生まれたインモビは、厳選・接続・導線など多様な意味を内包しながら、次世代の情報体験を提案します。

Contact us: [email protected]

FOLLOW US

© インモビ by inmobilexion.com