1000万件電話帳流出:Android不正アプリが出回る4つの理由


Andoridの不正アプリを使って、1000万件の電話番号・アドレスなどを盗み取ったとして、IT関連会社の元会長ら5人が逮捕されました。



被害にあったのは9万人とされていますが、その中に登録されているデータは合計で1000万件にも及ぶ可能性があります(NHK報道による)


問題のアプリは、今年8月上旬から急激に出回っているもので、以下のような特徴がありました(写真はIPAによる)。

●電池、電波などを改善すると称する偽ユーティリティアプリ

「電波改善」「電池長持ち」といった名前で配布。ユーザーの気になる点、注目点をすくいあげるようなタイトルを付けた偽アプリだった。

●動画、アダルト関連などの偽アプリも

タレントの名前、アダルト関連の動画アプリに見せかけたものも存在。検索にひっかかりやすいキーワードのアプリを作成していた。

●まったく機能せず、ユーザーの電話帳データを抜き取るのが目的

すべて偽アプリであり、タイトルのような機能は一切ない。起動したと同時に、Androidの電話帳データを、犯人が設置したサーバーに送っていた。

●SPAMなどと通じて配布。一部は公式の「Google Play」でも?

NHKの報道によれば、Googleの公式配布サイト「Google Play」でも配布されていたとのこと(筆者は未確認。報道のみです)。それ以外の多くのアプリは、独自サイトで配布し、メールなどのSPAMで宣伝していたと思われる。

4つの理由;Androidの致命的欠点、OSとしての問題点

なぜこのような不正アプリが出回ってしまうのでしょうか。理由としては、Andoroidの問題点、急激に広まったスマートフォンへの警戒度の薄さなどがあります。

1:一般ユーザーのスマホ利用が急激増加。セキュリティへの意識が低い

ここ2年ほどで爆発的にスマートフォンが普及。携帯電話の感覚でスマートフォンを使う利用者が増えています。特にNTTドコモの一般ユーザーが、初めてのスマートフォントしてAndroid端末を使っています。セキュリティ意識がないユーザーが、安易に不正アプリを導入=騙されてしまっています。

2:Androidアプリは基本的に「フリーハンド」。不正アプリも出回りやすい

iPhoneなどのiOSでは、Appleによる審査を通らないとアプリを配布できません。それに対して、Androidではパソコンと同じように基本的にオープン。誰でも、どんなアプリでも配布できます。独自サイトで配布するアプリなら、Googleの審査は一切ないので、不正アプリも出回ってしまいます(「提供元不明のアプリ」をインストールするかという設定があるものの、それを有効にする説明をした上で、インストールさせる不正アプリが多い)。

3:公式配布サイト「Google Play」での審査が甘い。不正アプリも流通

今回の事件では一部のアプリが、Googleの公式配布サイト「Google Play」上で配布されていたようです。Google Playでの配布ではGoogle側の審査が一応ありますが、非常に甘いことで有名で、今までも何度か不正アプリが配布されてしまっています。Google側の審査の甘さが問題です。

4:「アクセス許可」と「インストール」を同時に押させる構造が問題

Androidアプリでは、インストール時にどのようなデータにアクセスするか、どんな動きをするのかという「アクセス許可」の画面があります。しかしこの画面の構造、インストールまでの画面遷移に問題があるのです。
Androidアクセス許可
アプリをインストールしようとすると、この画面になります。多くの人が、すぐに「同意してダウンロード」を押してしまうでしょう。しかし下側に「アクセス許可」の一覧があり、ここがもっとも重要なのです。動画アプリなのに、電話帳データへのアクセスがあるなど、不正アプリの疑いをチェックできるわけです。
しかし「同意してインストール」というボタンによって、「アクセス許可への同意」と「インストール」が同時に行われる構造になっています。ここがAndroid不正アプリが出回る、大きな理由となっています。Googleは今すぐ、この問題を解消するべきです。

Androidを安全に使うための対策は?

ユーザー側の対策としては、まず最初に、スマートフォン、特にAndroidには不正アプリが多数ある、という認識をしっかり持つこと。電話帳データ流出だけでなく、高額な架空請求をしてくるアプリ、乗っ取りアプリなどもあります。安易にアプリをインストールしないこと、この意識を持つべきです。

次にアプリはGoogle Play上から、自分で検索してインストールすること。メールやTwitter・Facebookなどのリンク、ウェブページからのリンクを使うのではなく、Google Playから自分でアプリ名を検索して導入しましょう。
加えて、「同意してインストール」の画面で、無意味なアクセス許可がないか確認すること。動画アプリなのに個人情報データへのアクセスがある場合には、インストールしないでください。Google Play上でも不正アプリが存在している可能性があるからです。

そしてスマートフォンの初心者ユーザーは、不正アプリを防止するセキュリティ対策ソフトの導入をお勧めします。不正アプリをある程度防止する効果があるからです。有料であり、かつ動作も重くなりますが、安全対策のためにはやむを得ません。

なおAndroid不正アプリの問題については、私が連載している読売オンラインの「サイバー護身術」でも詳しく取り上げています。よろしければご覧ください。


Comments are closed.

ITジャーナリスト・三上洋



セキュリティ、携帯電話・スマートフォン、携帯電話料金、ライブメディアのライター・ジャーナリスト。文教大学情報学部非常勤講師
Twitter:mikamiyoh
Facebook:Yoh Mikami
電話番号・メールはこちら

Powered by WordPress, WP Theme designed by WSC Project. ログイン