By Desiree Catani

有名ハリウッド女優や歌手などのヌード画像が大量流出した一件は世界中で大きな波紋を巻き起こしており、ニュージーランドでは画像見たさがもとでネットに障害が発生するという珍事が発生しているほど。そんな事件を巻き起こしたハッカー集団は、人気ゲームのFlappy Birdに手を加え、不正に画像を抜き出す手法を試みていたことが明らかになりました。

iCloud hackers planned Flappy Bird clone to steal photos from phones | Technology | theguardian.com

http://www.theguardian.com/technology/2014/sep/05/icloud-hackers-planned-flappy-bird-clone-to-steal-photos-from-phones

Flappy Birdはリリース後半年がたってからなぜか突然爆発的人気を得たゲームで、作者のDong Nguyenさんがあまりの人気のすごさに「もう耐えられない」として一時はゲームを削除していたことでも知られています。数多くのコピー版が出回ることになったFlappy Birdですが、その人気を利用して悪事をはたらく者も存在しており、アプリをクラッキングして画像を抜き出すように改造したゲームをGoogle Playでバラまき、不正に画像を集めようとしていたことが明らかになっています。

これは、ユーザーがあまり意識しないうちに「画像フォルダへのアクセス」を承認しているために起こる問題。海外の巨大掲示板である4chanから派生したフォーラムには、およそ2年前から画像の不正抜き出しを行っていたとみられるハッカー集団が集結し、大量の画像をやりとりして収集を繰り返していたとみられます。

セキュリティ関連の調査を行っているNik Cubrilovicという人物は、このフォーラム内でAndroid版のFlappy Birdを改造して画像フォルダへのアクセスを可能にさせる手法についての書き込みを発見しました。

plan for a photo stealing Flappy Bird clone. remember this next time a game or app asks for picture permissions pic.twitter.com/K138VL6yWw— nik cubrilovic (@nikcub) 2014, 9月 4

「諸君、俺はスゲぇ天才だ」という書き出しで始まるエントリでは、Flappy Birdに手を加えて画像を抜き出し、自分のサーバに画像を続々と送り込ませることに成功したことが書かれている一方で、この行動はGoogleデベロッパの規約に反するものであり、発覚するとアカウントを取り消されるためにリスクを負いたくはないということ、そのためには別のアカウントを作成する必要があり、その資金として20ドル(約2000円)の資金提供を呼びかける内容の書き込みが行われています。また、資金を提供した者には抜き出した画像を提供するとも書かれています。

トレンドマイクロのバイスプレジデントであるリック・ファーガソン氏は「Google Playは『マルウェアなし』というわけではありません。Googleはマルウェア対策を行っていますが、それは主にアプリがリリースされた後になります。不正アプリの作者はアカウントが削除されることを語っているのですが、それだけ不正アプリの市場は盛況ということを示しています」と語っています。

Android OSの場合、「データフォルダへのアクセス」のような各アプリがとる挙動は、インストール時にその承諾を得るように設計されています。iOSではインストール後にでもそれぞれの設定を変更できるのに対し、Androidではその対策が不十分であるとファーガソン氏は指摘し、セキュリティ向上のためにはこの点が改善されること、そして信頼のおける作者からのアプリを使用することが重要であると語っています。



またファーガソン氏は、「この種のアプリの問題は、その手法の実現性の高さと『金儲け』に用いられやすいという状況があり、感染する可能性のある人が多いため、人々やメディアの関心を多く集めています」と語っています。なお、Flappy Birdの作者であるDong Nguyen氏の別の作品であるSwing Copterにも数多くのコピーが出回っており、すでに60以上の別バージョンがGoogle Playでリリースされているとのこと。全てが危険というわけではありませんが、他のゲームなどをインストールする際にもよく気をつけたほうがよいといえます。