およそ1200万件の個人情報流出!不審なアプリはダウンロードしちゃダメ
スマホアプリを「見抜く」力が必須になってきました。Androidアプリからおよそ1200万件の個人情報が流出。逮捕者が出る事態となっています。
30日、警視庁ハイテク犯罪対策課と赤坂署は、個人情報を抜き取るウイルスが組み込まれたAndroidアプリを配布し、ダウンロードしたユーザーの個人情報を取得し外部サーバーに流出させたとして、会社役員ら男女5人を不正指令電磁的記録(ウイルス)共用罪で逮捕。容疑者らが設置した外部サーバーには、約9万の端末から取得した1200万件あまりの情報が保存されていたとのことです。
このウイルスが組み込まれていたAndroidアプリは、連絡先管理アプリやレシピアプリなどの状態でリリースされていました。7つの開発者によって、29種類のアプリを公開。それをさらにGooglePlay上ではゲーム動画などに偽装するなどして44種類の別のアプリに見せかけ、ダウンロードさせていたようです。アプリをスマホにダウンロードし実行すると、その端末の電話番号や電話帳に登録されている個人情報などを盗み出されてしまいます。抜き取られたデータは、容疑者が設置していた外部サーバーに送られる、という仕組みです。
今年の3月下旬にアプリをリリース、4月に個人情報を盗んだということが逮捕事由となっています。アプリ自体は4月13日、GooglePlayから削除されているとのことです。
さて、あなたはこの事件、どのように受け止めますか?「自分もAndroidを使っているから怖い」「ダウンロードするときには気をつけなきゃと思うけれど、何をどうチェックしたらいいか分からない」という人も多いことでしょう。
私個人としては、「電池長持ち」「電波改善」「音楽無料ダウンロード」などのアプリはなんとなくあやしいと感じ、ダウンロードしないようにしています。もちろんそういったアプリでも悪意のないものはあると思います。
個人情報を扱うことがあらかじめ分かっているアプリの場合、利用前に規約画面が表示され、その旨が謳われています。最近はその規約の適用範囲について、『LINE』や『comm』など一部の無料通話・メッセージアプリが批判されることもありますが、規約に記してユーザーに公開しているというのは、具体的なデータの利用方法がどうなっているのかはともかく、良心的な対応であると見ることもできそうです。
一方、そのような規約のない不正アプリもあります。注意書きが無いからといって何の疑いもなく使用するのは今後も避けたほうがよさそうです。
【2012年10月31日11:00追記ここから】
利用規約のほかにチェックしておくべきポイントがあります。Androidでアプリをインストールするときに必ず表示される「権限情報」です。アプリの目的と関係のない余計な権限までそのアプリが要求していないかどうか、注意深くチェックする必要があります。例えば音楽をダウンロードするだけのアプリなのに電話帳へのアクセス許可を求めていないか、などです。
同様のことはAppleのiOSにもいえます。以前、多数のiOSアプリが電話帳のデータを無断で自サーバへ送信していた、ということで話題になりました。その後のアップデートで個別に使用者から許可を得るように変更されました。
AndroidもiOSも、「そのアプリが、アプリの目的に合った正しい権限を要求しているか。許可したらどういう結果になるのか」をきちんと把握したうえで使っていくべき、ということが分かります。
※ 多数の iOSアプリがアドレス帳を無断送信していた問題、アップルは改善を約束
【2012年10月31日11:00追記ここまで】
後の祭りにならないように、不審なアプリには絶対に近づかないことです。アプリ開発元を事前に確認する、そしてやみくもに「便利そうだから」とアプリをダウンロードしないようにすることを心がけたいですね。
【あわせて読みたいリスク記事】
※ Androidアプリ「the movie」系が個人情報をダダ漏れさせていた件から改めて留意したいこと
※ Androidを狙ったマルウェアが急増中 McAfeeレポート
【参考】
※ Androidアプリで1,000万件の情報を盗む? 「the Movie」配布の容疑者が逮捕 – マイナビニュース
(ライター:鉢須祐子)