詐欺アプリに対抗するため、グーグルが Android のセキュリティを強化

写真拡大 (全2枚)

詐欺アプリ「Virus Shield」の騒ぎを受け、グーグルがセキュリティシステム「Verify Apps」に新機能を追加した。

グーグルの Android セキュリティシステムに新しい機能が追加された。

今週のはじめ、Google Play ストアのチャートでトップの座を獲得していた人気アプリが完全な詐欺アプリだったことが判明し、Android ユーザー達を震撼させた。そのアプリ「Virus Shield」は、ユーザーが端末にダウンロードしている各種アプリに対するセキュリティ保護をうたったものだった。一体どこが詐欺だったのか? Virus Shield は、実際には何もしないアプリだったのだ。ユーザーから 3.99ドル の料金を徴収する有料アプリだったにもかかわらず、宣伝している機能を全く搭載していなかったのである。グーグルは既にストアからこのアプリを削除している。

Android ユーザー達は、自分たちが端末にダウンロードしてきたアプリに対し、当然ながら(時には的外れなこともあるが)不安を抱いている。NSA のスキャンダル、Android の貧弱なセキュリティに関する様々な報道、そしてつい最近巻き起こった Heartbleed の騒動によって、インターネットユーザー達は被害妄想に陥り始めている。アプリやウェブサイトは、本当にそれらがうたっている通りのことをしているのか?そしてその妄想は、半分当たっているのだ。

関連記事:ウェブ・セキュリティを脅かす重大なバグ「Heartbleed」について知っておくべきこと

グーグルは、同社が引き続きセキュリティ問題を優先事項に掲げているとユーザーに知らせて彼らを安心させるため、セキュリティシステム「Verify Apps」のアプデートを行ったことを発表した。Verify Apps は、Google Play とユーザー端末上のアプリを継続的にスキャンし、それらが本来期待されている通りの挙動を行うかどうかチェックする。今回のアップデートによって、アプリがダウンロードされた後でもチェックを行ってくれるようになった。

セキュリティのモニタリングを継続的に行うことのメリットは明白だ。アプリは時々、必要でもないアップデートや追加リクエストによって、アプリのパーミッション(ユーザーのメッセージやカレンダー等へのアクセス権)を変更することがある。Verify Apps が継続的にアプリをスキャンし、こういった良くない振る舞いをするアプリをチェックしてくれることによって、ユーザーの安全が守られるのだ。

とはいえ、いくら Verify Apps でも、宣伝通りの振る舞いをするアプリからユーザーを守ることまではできない。機能的には宣伝通りの挙動をしておきながら、ユーザーの個人情報を不正な目的で使用したり、あるいは個人情報の保護に失敗したりするような場合はどうしようもないだろう。

Verify Apps は、グーグルが2012年2月にリリースしたセキュリティシステム「Bouncer」が進化したものだ。Bouncer は、Google Play 上のすべてのアプリを、マルウェアに対する既知のバグや脆弱性のリストと照らし合わせる。もしアプリが悪意のあるものだと認識された場合、ユーザーはそのアプリをインストールしないように警告されるか、グーグルによってインストールがブロックされる。

Verify Apps の機能は、Android 4.2 Jelly Bean 以上のバージョンを使っていれば、自動的に有効になっているはずだ。Android 端末のセキュリティ設定からアクセスすることができる。

グーグルによれば昨年の間、アプリのインストール時に Verify Apps によるスキャンが行われた回数は40億回にのぼるという。そのうちユーザーに警告が出された割合はたったの0.18%だそうだ。それでも計算すると、720万回の警告が出されたことになる。グーグルはこの数字を無視したいのかもしれない。だが、Android の継続的なグローバル展開を考慮すると、エコシステムをオープンかつ安全に保つためには、グーグルは同社のセキュリティ基準を見直す必要があるだろう。

Dan Rowinski
[原文]