Androidの不正アプリを使って、約1000万件の電話番号やメールアドレスが盗み取られた。出会い系サイトの業者がデータ収集のために、Googleの公式サイトでアプリを配布していたのだ。
■9万人がダウンロード、容疑者5人逮捕
スマートフォンのAndroid(アンドロイド)端末向けに不正なアプリを配布し、大量の個人情報が盗まれた事件で、容疑者5人が逮捕されている。この不正アプリはGoogleの公式アプリサイト「Google Play」で配布され、約9万人がダウンロードし、流出した電話帳(電話番号・メールアドレス)は1000万件以上にもなる。スマートフォンでは今までに類を見ない、大量の個人情報流出と言っていいだろう。
この不正アプリは今年3月下旬から出回り、4月頃に大きな問題となった。この連載でも「Android「人気アプリの偽物」「公式サイトに不正アプリ」」「アプリ公式サイト「Google Play」に多数の不正アプリ」として紹介している。画像は不正アプリの例で、女優名やアニメの名前などをつけた偽の動画アプリなどを配布していた。
最大の問題は、犯人らが出会い系サイトを運営していたことだろう。警視庁が逮捕したのは東京・港区のIT関連会社「アドマック」の元会長・社長など5人。同社は2010年2月に設立され、出会い系サイトや占いサイトを運営していた。警視庁が押収したパソコンを解析したところ、不正アプリで抜き取った個人情報を、同社が運営する出会い系サイトの勧誘に使っていた形跡が見つかっている。
出会い系サイトの勧誘スパムメールを送信するために、個人情報収集を行った可能性が高い。不正アプリで電話帳を盗み取り、スパムメール送信に使ったり、出会い系サイトの業者に転売されているのかもしれない。
■Androidで不正アプリが出回る二つの理由
今回の事件の不正アプリは、Googleの公式アプリサイト「Google Play」で配布されていた。人気アプリではなかったが、女優やアニメの名前、「電波改善」「電池長持ち」といったユーザーの興味を引くタイトルを付けることで、検索結果からダウンロードされることを狙っていたようだ。
Androidの不正アプリは、今年に入って大幅に増加している。セキュリティー大手トレンドマイクロによれば、2012年9月現在で確認されているAndroid不正アプリは約17万5000件。4月時点では1万1000件だったから、わずか半年で約16倍にもなっている計算だ。
なぜ、こんなに不正アプリが大量に出回っているのだろうか。その理由は大きく分けて二つある。いずれもAndroid OSを作っているGoogle側の問題だ。
1)「アプリの審査が甘く、不正アプリが流通しやすい構造」
Googleの公式アプリサイト「Google Play」は、アプリの審査が甘いことで有名だ。今回のようなアプリが公式サイトに載ってしまうのだから、審査が甘いことがよくわかる。Googleは審査を強化しているとアナウンスしているが、不十分なことは明らかだ。
また、Androidではパソコンと同じように、自由にアプリを作って配布できる。独自サイトで不正アプリを配ることも可能だ。
2)「インストールと『アクセス許可』の同時許可が問題」
Androidアプリでは、インストール時に「アクセス許可」という画面が出る。そのアプリがどんな機能を使うのかが確認できるのだが、この許可画面に構造的な問題がある。アクセス許可の画面では、「同意してダウンロード」となっている。「アクセス許可に同意すること」と「ダウンロードすること」の二つの動作を、一つのボタンで実行してしまうのである。
不正アプリは「アクセス許可」を確認することで防げるのだが、この構造では多くのユーザーが内容を確認せずに押してしまうだろう。「Google Play」の画面構造に大きな問題がある。
この他に、ユーザー側の意識の甘さもあるだろう。スマートフォンの急激な普及によって、携帯電話(従来のフィーチャーフォン)と同じ感覚で使っている人が多い。携帯電話とは異なり、スマートフォンは小さなパソコンであり、インターネットに直結しているために危険性が常にある。
■改めてAndroidのセキュリティー対策を
Androidのセキュリティー対策については、以前の記事「Android不正アプリが急増!」で詳しくまとめているので参考にしてほしい。対策は大きく分けて三つある。
1)ダウンロードは公式サイトで、かつアプリの評価を確認
アプリのダウンロードはGoogle Play、もしくは携帯電話会社のサイトから。それでも信用できないので、アプリの評価をチェックする。ユーザーによる評価が悪い場合はダウンロードを中止しよう。
2)「アクセス許可」をじっくり確認する
アプリに不要であると思われるアクセス許可があったら、怪しいと考えてダウンロードを中止しよう。アクセス許可の見方についてはトレンドマイクロの記事「インストール時の画面表示を確認して危険なアプリを回避しよう」で詳しく紹介されている。
3)セキュリティーアプリ
初めてAndroidを使う人や、あまりリテラシーの高くない高齢者や中高校生では、セキュリティープリの導入をお勧めしたい。有料ではあるが、被害を防止するために導入したほうがいいだろう。
今後もAndroidの不正アプリが増えるだろう。あなたが被害に遭うだけでなく、電話帳にある友人のデータを流出させることにもなるので警戒しよう。(ITジャーナリスト・三上洋)
http://headlines.yahoo.co.jp/hl?a=20121109-00000301-yomonline-sci
