サイバーセキュリティ研究者のジェレマイア・ファウラーは、ヨーロッパの著名人および複数のソーシャルメディア有名人に関連する私的な写真、スクリーンショット、メッセージの漏洩を発見した。
ファイルはパスワード保護のない一般公開状態のデータベースに保存されており、86,859枚の画像が露出していた。多くのスクリーンショットは被害者の端末から直接撮影されたもので、ストーカーウェアの使用が示唆された。漏洩データにはWhatsApp、Facebook、TikTok、Instagramのチャットログ、恋愛関係のメッセージ、電話番号、メールアドレス、請求書や領収書など身分証明書類の写真が含まれていた。主要な被害者はヨーロッパの著名な起業家兼メディア関係者であるが、ファウラーは当事者保護のため名前を公表していない。同氏は漏洩した電話番号で当事者に注意喚起を行い、法執行機関にも通報した。調査はExpressVPNが2026年4月30日に公開し、Hackread.comに共有された。
From: 
Private Chats, Photos of Celebs Exposed in Suspected Stalkerware Leak
【編集部解説】
今回の事案でまず注目すべきは、「監視する側」の杜撰な運用が「監視される側」のプライバシーを露呈させてしまったという、皮肉な構造です。ストーカーウェアの運用者がデータベースに認証設定をしないまま放置したため、本来は加害者だけがアクセスできるはずの収集データが、インターネット接続環境さえあれば誰でも閲覧できる状態となっていました。被害者の保護は、技術的な堅牢性ではなく、「研究者が偶然それを発見して当局に通報した」という幸運に依存していたことになります。
innovaTopia として今回のニュースを取り上げる最大の理由は、ジェレマイア・ファウラー氏が指摘した一文に集約されます。「暗号化が保護するのは、あくまでも通信中のデータのみ」という原則です。WhatsAppやSignalなどエンドツーエンド暗号化(E2EE)を採用するアプリは、通信経路上のデータを守ることには優れていますが、メッセージが画面に表示された瞬間、つまり端末そのものが侵害されている場合には無力です。E2EEが「最強の盾」だという広く流布した認識は、一定の条件下では幻想に過ぎません。
この「端末そのものが信頼できなくなる」という前提は、近年急速に広がりつつあるオンデバイスAIや常時画面解析型のアシスタント機能とも深く関わってきます。AIが画面の内容を読み取って文脈に応じた支援を行う設計は便利である一方、悪用された場合のスパイウェアと、仕組み上ほとんど区別がつきません。ストーカーウェアの脅威は、AI時代におけるデバイスの信頼境界(トラストバウンダリ)を再考すべきだという、より大きな問いを突きつけています。
市場規模で見れば、ストーカーウェアは決してニッチな脅威ではありません。Future Market Insights の調査によると、2025年の世界市場規模は1億4,530万ドル、2035年には2億6,510万ドル(CAGR 6.2%)に達する見込みとされています。Kaspersky の「State of Stalkerware 2023」レポートでは、2023年に世界で31,031人が被害に遭ったと報告されており、前年比で約6%の増加でした。これらは検知された数字であり、未検知の被害が桁違いに存在すると考えるのが自然です。
問題を一層複雑にしているのが、「保護者向け見守りアプリ」「従業員モニタリングツール」「紛失端末追跡アプリ」など、合法的な用途を装って配布されるグレーゾーン市場の存在です。技術的にはほぼ同一の機能が、文脈次第で「子の安全」にも「パートナーへの強制的監視」にも転用可能であり、単純な技術的線引きでは規制が追いつきません。Coalition Against Stalkerware といった国際連合体が2019年から活動を続けていますが、産業構造そのものに踏み込むには、各国の法制度が個別に対応していく必要があります。
innovaTopia の読者層であるアーリーアダプター層、特に経営者や開発者にとって、この問題は他人事ではありません。スマートフォンには取引先との交渉履歴、設計情報、未公開のプロダクト計画などが保存されており、業務上の競合や内部関係者にとって魅力的な標的になります。物理アクセスがインストールの最大要件である以上、端末を他者に手渡さない、強固なロックを設定する、といった基本動作が、実質的な事業リスク管理の一部であることを認識すべきでしょう。
長期的な視点で言えば、ストーカーウェア問題は「暗号通信か平文通信か」という古典的な議論を超えて、「端末の身体性をどう守るか」という新しい問いに移行しつつあります。生体認証、セキュアエンクレーブ、オンデバイス検知の高度化、そして法制度の側からの追跡犯罪化が交差する領域で、Tech for Human Evolution が向き合うべき本質的な課題が立ち現れています。便利さと監視可能性は、同じコインの裏表だという事実を、私たちは静かに直視する必要があります。
【用語解説】
ストーカーウェア(Stalkerware)
端末所有者の同意なしに密かにインストールされ、位置情報、メッセージ、通話、写真、画面操作などを継続的に監視するスパイウェアの一種である。子の見守りや従業員管理など合法的用途を装って販売される製品も多く、グレーゾーン市場を形成している。家庭内暴力(DV)やハラスメントの加害行為に悪用されるケースが国際的に問題視されている。
エンドツーエンド暗号化(E2EE)
送信者と受信者の端末以外では復号できない方式の通信暗号化である。通信経路上の傍受は防げるが、端末そのものに侵害がある場合、画面に表示された後のデータは保護されない。WhatsAppやSignalなどが採用している。
ファクトリーリセット(工場出荷状態へのリセット)
端末を初期状態に戻す操作である。インストール済みアプリやデータがすべて消去されるため、ストーカーウェアを除去する有効な手段の一つとされる。ただしクラウドバックアップから復元する際に再感染するリスクもある。
CAGR(年平均成長率)
Compound Annual Growth Rate の略で、ある期間における年率換算の成長率を示す指標である。
トラストバウンダリ(信頼境界)
セキュリティ設計上、データやプロセスが信頼できる領域と信頼できない領域を分ける境界線のことである。端末そのものが侵害されると、この境界が崩壊し、暗号化などの防御も意味をなさなくなる。
セキュアエンクレーブ
スマートフォンなどに搭載される、メインプロセッサから隔離された専用チップ領域である。生体認証情報や暗号鍵などの機微情報を物理的・論理的に保護する役割を持つ。
ジェレマイア・ファウラー
セキュリティ研究者・ジャーナリストとして10年以上の経験を持ち、設定不備による大規模データ漏洩の発見と責任ある開示で知られる人物である。ExpressVPN と協働して調査結果を公開する活動を継続している。
【参考リンク】
ExpressVPN — Celebrities Stalkerware Data Exposed(外部)
ファウラー氏による今回の漏洩事案の調査レポート原文。被害状況や対策方法を網羅した一次情報源。
Hackread.com(外部)
サイバーセキュリティ専門メディア。データ漏洩、マルウェア、プライバシー関連のニュースを継続的に発信。
Coalition Against Stalkerware(外部)
2019年に設立されたストーカーウェア対策の国際連合体。被害者向けリソースや検出ガイドを提供している。
Kaspersky Securelist — State of Stalkerware(外部)
Kasperskyによる年次レポート。世界の検知数、被害国、利用される製品の傾向を統計的に提示。
Future Market Insights — Stalkerware Market(外部)
ストーカーウェア市場の規模、成長率、地域別シェアを分析した市場調査レポート。
WhatsApp 公式サイト(外部)
Metaが提供するエンドツーエンド暗号化対応のメッセージングアプリの公式ページ。
Signal 公式サイト(外部)
プライバシー重視のメッセージングアプリ。E2EEプロトコルのオープンソース実装で知られる。
AV-Comparatives — Stalkerware Test 2025(外部)
独立系セキュリティ製品評価機関による、ストーカーウェア検知性能の比較テストレポート。
【参考記事】
Celebrity Stalkerware Data Breach: 86K+ Private Images Leaked(外部)
ジェレマイア・ファウラー氏による調査の一次情報源。86,859枚の画像を含むパスワード未設定のデータベースの発見経緯、ストーカーウェアの動作原理、被害者保護のため法執行機関へ通報した経緯、利用者向けの対策(不審なアプリの削除、デバイス管理者設定とアクセシビリティ権限の確認、ファクトリーリセット等)が詳述されている。
Stalkerware Market — Size, Growth & Industry Forecasts 2033(外部)
2025年のストーカーウェア世界市場規模を1億4,530万ドル、2035年には2億6,510万ドル(CAGR 6.2%)と予測した市場調査レポート。Android/iOSが2025年に市場収益の62.5%を占め、エンドユーザーの71.0%が個人利用であるとも指摘している。
Kaspersky 2023 Report on Stalkerware(外部)
Kasperskyによる年次レポート。2023年に世界で31,031人のユニークユーザーがストーカーウェアの被害に遭ったとし、前年(29,312人)から増加。最も被害が多い国はロシア(9,890人)、ブラジル(4,186人)、インド(2,492人)で、検出された製品数は195種類、最も多く検出されたのはTrackView(4,049人)であった。
Stalkerware usage surging despite data privacy concerns(外部)
Kasperskyのデータを引用し、ストーカーウェアが「パンデミック規模」に達していると警鐘を鳴らした記事。ヨーロッパでは2,645件のユニーク事例が検出され、ドイツ(577件)、フランス(332件)、英国(271件)が上位であったと報告している。
Cybersecurity Researcher Exposes Stalkerware Database Leak Affecting European Celebrity(外部)
今回の事案の解説記事。被害が著名人に限定されない普遍的な脅威であること、ファクトリーリセット後にクラウドバックアップから復元すると再感染するリスクがあることなど、対策の実務的な側面を補完している。
Celebrity stalkerware leak exposes private messages online(外部)
事案の経緯に加え、各国の法的位置付けについて言及した記事。オーストラリアでは無断でのストーカーウェアインストールが刑事犯罪とされ、最大10年の禁錮刑が科される可能性があると報じている。
Stalkerware has grown by 239% worldwide over the past three years(外部)
モバイル端末でストーカーウェアに遭遇するリスクが過去3年間で世界的に239%増加したとする報告。家庭内暴力被害者支援団体RefugeやNNEDVのコメントとともに、保護者向けアプリが加害者に悪用される傾向を指摘している。
【編集部後記】
普段、私たちは「鍵がかかっているから安心」とメッセージアプリを使っていますが、今回の事案は、その安心の前提が「自分の端末そのものが信頼できる」という条件の上に成り立っていることを示しています。皆さんは、自分のスマートフォンを家族や知人に短時間でも預けることはありませんか。バッテリーの消耗が早い、本体が妙に熱い、見覚えのないアプリがある——もし思い当たる節があれば、それは小さな違和感かもしれません。便利さと監視可能性が紙一重である時代に、私たち自身の「端末との距離感」を一緒に考えてみませんか。
