中古スマホは個人情報の宝庫
2014 年(平成 26 年)7 月、アンチウイルスソフトを販売するアバストの調べで、ネット販売されている中古スマートフォンの多くから個人情報をいくらでも抜き出せる状態であることが分かりました。
アバストが購入した 20 台の中古スマートフォンは、いずれも手動でデータが削除されていましたが、データ復旧ソフトを使用することで消去されたはずのデータを復旧することに成功したといいます。
20 台の中古スマートフォンから復旧できた画像データは全部で 4 万ファイルにも及びました。家族や子どもの写真が 1500 枚以上、裸体の女性の写真が 750 枚以上、所有者と思われる男性のセルフヌード写真が 250 枚以上含まれていたそうです。
20 台の中古スマートフォンから復旧できた画像データは全部で 4 万ファイルにも及びました。家族や子どもの写真が 1500 枚以上、裸体の女性の写真が 750 枚以上、所有者と思われる男性のセルフヌード写真が 250 枚以上含まれていたそうです。
米国ではスパイウェア入りスマホを堂々と販売
セキュリティ企業の英ソフォスは、2014 年(平成 26 年)3 月 17 日、米mSpy社がスパイウェア入りのスマートフォンを販売していると伝えた。
インストールされるスパイウェア「mSpy」は、通話内容の録音や発着信履歴およびメール、SMS などの盗み見、GPS による位置の追跡といった機能を備えている。mSpy社は、購入したユーザーがこのスマートフォンを他人にプレゼントしてその利用履歴などを盗み見る、といった用途を想定しているようだ。
インストールされるスパイウェア「mSpy」は、通話内容の録音や発着信履歴およびメール、SMS などの盗み見、GPS による位置の追跡といった機能を備えている。mSpy社は、購入したユーザーがこのスマートフォンを他人にプレゼントしてその利用履歴などを盗み見る、といった用途を想定しているようだ。
商品としては最新機種を用意。Nexus 5、iPhone 5S、HTC One、Galaxy S4 の 4 機種で、価格は 649.99 ドルから。mSpy アプリを含まない機種より 200 ドルほど高いという。
mSpy では、このスマートフォンを渡した相手の許可を得るよう説明し、合法であると主張している。だが、ソフォスはあまりにもひどい商品であると非難。このような商品には気を付けるよう注意を促している。
mSpy では、このスマートフォンを渡した相手の許可を得るよう説明し、合法であると主張している。だが、ソフォスはあまりにもひどい商品であると非難。このような商品には気を付けるよう注意を促している。
スマートフォンを狙った架空請求が急増
東京都生活文化局の調べによると、スマートフォンを狙った架空請求が急増しています。料金請求画面を残し、電話やメールなどで執拗に請求することにより、利用者を心理的に追い込もうとする手口が目立ちます。
生活文化局は、こうした悪質な事業者とは連絡をとらずに無視すべきとアドバイスしています。また請求などに対しては、必要に応じて電話の受信・着信拒否機能の利用、メールアドレスを変更すべきとしています。
生活文化局は、こうした悪質な事業者とは連絡をとらずに無視すべきとアドバイスしています。また請求などに対しては、必要に応じて電話の受信・着信拒否機能の利用、メールアドレスを変更すべきとしています。
スマートフォンを狙った架空請求が激増,東京都生活文化局 2012 年 3 月 23 日
消費者センターに寄せられる架空・不当請求に関する相談は 2010 年(平成 22 年)に減少しましたが、再び増加傾向にあります。2014 年度は 5 年ぶりに 6 万件に迫る状況です。スマートフォンの普及により、インターネット経由で悪質業者のサイトへ誘導されるケースが増えているとみられます。公的機関を装った業者に相談を持ち掛け、不当な料金を請求される 2 次被害も目立っています。
東京都消費生活総合センターは「公的な相談機関は料金を一切請求しません。被害に遭ったら、あわてずに連絡してほしい」と注意を呼びかけています。
また、国民生活センターでは「悪質な『利用した覚えのない請求』が横行しています」と注意を呼びかけています。
東京都消費生活総合センターは「公的な相談機関は料金を一切請求しません。被害に遭ったら、あわてずに連絡してほしい」と注意を呼びかけています。
また、国民生活センターでは「悪質な『利用した覚えのない請求』が横行しています」と注意を呼びかけています。
総務省がスマホプライバシー基準を公開
総務省は、スマートフォンアプリが順守すべきプライバシー保護の基準などを示した提言「スマートフォン プライバシー イニシアティブ」を公開しました。
今回の提言では、次のように情報の取り扱いに関する具体的な基準を示すなど、適正か、不適かの線引きを明確にしています。
また、2012 年(平成 24 年)12 月、スマートフォンにおけるプライバシー情報の取り扱いに関して、通信業界やゲーム業界、広告業界など 22 の業界団体が参画する、スマートフォンの利用者情報等に関する連絡協議会(SPSC、Smartphone Privacy and Security Council)は 20 日、活動内容の報告、関連資料をまとめて掲載するポータルサイトを開設しました。
今回の提言では、次のように情報の取り扱いに関する具体的な基準を示すなど、適正か、不適かの線引きを明確にしています。
- 契約者・端末固有 ID などは個人情報に準じた形で扱う
- プライバシーポリシーに、情報の利用目的を具体的に示す
- プライバシー侵害に繋がる情報を取得・利用する場合、個別に同意を得る
- 取得・利用の同意を撤回する機会を提供する
また、2012 年(平成 24 年)12 月、スマートフォンにおけるプライバシー情報の取り扱いに関して、通信業界やゲーム業界、広告業界など 22 の業界団体が参画する、スマートフォンの利用者情報等に関する連絡協議会(SPSC、Smartphone Privacy and Security Council)は 20 日、活動内容の報告、関連資料をまとめて掲載するポータルサイトを開設しました。
スマートフォンには出荷時にスパイウェアが入っている?
スマートフォンの情報を勝手に収集するとして、米Carrier IQ と米Apple、米AT&T、米Sprint、ドイツ Deutsche Telekom の米子会社T-Mobile、台湾 HTC、米Motorola、韓国 Samsung の合計8社に対する集団訴訟が 2011 年(平成 23 年)12 月 2 日、アメリカで提起されました。(ITpro, 2011 年(平成 23 年)12 月 6 日より)
問題となっているのは「Carrier IQ」というソフトウェアで、Android や iPhone に最初からインストールされています。ユーザーの利便性向上を図るため、スマートフォンへのキー入力や SMS メッセージ、Web ブラウジングなどの情報を収集しているといいます。
り)
問題となっているのは「Carrier IQ」というソフトウェアで、Android や iPhone に最初からインストールされています。ユーザーの利便性向上を図るため、スマートフォンへのキー入力や SMS メッセージ、Web ブラウジングなどの情報を収集しているといいます。
り)
Carrier IQ はルートキットとしてインストールされるため無効化は難しく、拒否の手段も提供されていません。こうした特徴から、プライバシー保護に反するのではないかと非難の的になったのでした。(ASCII.jp, 2011 年(平成 23 年)12 月 6 日より)
米Carrier IQ によると、Carrier IQ のエージェントは世界で約 1 億 6000 万台の携帯電話にインストールされているといいます。メーカーが「自社端末の性能について、フィードバックループがほしいと思っている」ために、Carrier IQ を提供しているとしています。(ASCII.jp, 2011 年(平成 23 年)12 月 9 日より)
こうした騒動を受け、日本のキャリアは 2011 年(平成 23 年)12 月、以下のように回答しています。(ケータイウォッチ、2011 年(平成 23 年)12 月 8 日より)
米Carrier IQ によると、Carrier IQ のエージェントは世界で約 1 億 6000 万台の携帯電話にインストールされているといいます。メーカーが「自社端末の性能について、フィードバックループがほしいと思っている」ために、Carrier IQ を提供しているとしています。(ASCII.jp, 2011 年(平成 23 年)12 月 9 日より)
こうした騒動を受け、日本のキャリアは 2011 年(平成 23 年)12 月、以下のように回答しています。(ケータイウォッチ、2011 年(平成 23 年)12 月 8 日より)
| KDDI | 搭載していない(動作していない) |
| NTT ドコモ | 搭載していない |
| ソフトバンクモバイル | 搭載していない |
| イー・モバイル | 搭載されていないと認識している |
| アップル | 搭載している |
Androidアプリの脆弱性
携帯電話向けセキュリティ製品を手掛ける米SMobile Systems が Google の Android 携帯向けアプリケーションストアで販売されている約 4 万 8000 本のアプリケーションについて調査したところ、他のアプリケーションから個人情報や機密情報にアクセスできてしまうものが 2 割に上りました。
さらに、任意の電話番号に発信することを許可してしまうアプリケーションが 5%、高い通信料を設定した「プレミアム SMS」の送信を許可してしまうものが 2%あったほか、スパイウェアのような機能を持つアプリケーションも見つかりました。
さらに、任意の電話番号に発信することを許可してしまうアプリケーションが 5%、高い通信料を設定した「プレミアム SMS」の送信を許可してしまうものが 2%あったほか、スパイウェアのような機能を持つアプリケーションも見つかりました。
SMobile Systems は、「ユーザーの個人情報を入手するため悪質な意図でコードを開発し、自分たちの利益のためにその情報を使っている個人や組織が存在する」と指摘しています。
不正アプリの販売
2010 年(平成 22 年)1 月、米Google の Android 携帯向けアプリストアで、オンラインバンキングアプリに見せかけてパスワードなどの情報を盗み出す不正アプリが販売されていたことが分かりました。
問題の不正アプリは「Droid09」という匿名の開発者が、オンラインバンキングアプリに見せかけて作成したもので、実在の金融機関名をかたり、ユーザー名やパスワードなどの情報が盗み出された可能性があるとのことです。
問題の不正アプリは「Droid09」という匿名の開発者が、オンラインバンキングアプリに見せかけて作成したもので、実在の金融機関名をかたり、ユーザー名やパスワードなどの情報が盗み出された可能性があるとのことです。
無断で個人情報を送信か?
2010 年(平成 22 年)12 月 18 日、米ウォールストリート・ジャーナル紙は、スマートフォンで音楽を聴く際などに利用するアプリから、年齢や性別などの個人情報が外部の広告会社に漏れている例があると報じました。
101種類のアプリを調べたところ、56種が利用者の許諾を得ずに携帯電話固有の識別番号を外部の会社に送信、47種が位置情報を、5種は年齢や性別を送っていたということです。(What They Know - Mobile)
2011 年(平成 23 年)4 月、米セキュリティ会社Veracode の調査によると、Android用の無料アプリが使用する広告ライブラリーに、ユーザーの個人情報などを広告プロバイダーに送信するコードが含まれていたそうです。
たとえば、インターネットラジオ Pandora(日本からは視聴できない)の iPhone 版/Android 版ともに、ユーザーの年齢、性別、場所、端末固有の情報を複数の広告プロバイダーに送信していたといいます。
101種類のアプリを調べたところ、56種が利用者の許諾を得ずに携帯電話固有の識別番号を外部の会社に送信、47種が位置情報を、5種は年齢や性別を送っていたということです。(What They Know - Mobile)
2011 年(平成 23 年)4 月、米セキュリティ会社Veracode の調査によると、Android用の無料アプリが使用する広告ライブラリーに、ユーザーの個人情報などを広告プロバイダーに送信するコードが含まれていたそうです。
たとえば、インターネットラジオ Pandora(日本からは視聴できない)の iPhone 版/Android 版ともに、ユーザーの年齢、性別、場所、端末固有の情報を複数の広告プロバイダーに送信していたといいます。
対策は
今のところ日本での報告はありませんが、信頼できるアプリケーション以外には個人情報を登録しないようにするのが無難です。
2011 年(平成 23 年)11 月、Google でオープンソースソフトウェアの取り組みの責任者を務める Chris DiBona 氏は、Android、iOS、および Research in Motion の BlackBerry OS にはアンチウイルスソフトウェアは必要ないと主張し、携帯端末用アンチウイルスソフトウェアの販売企業を「いかさまなペテン師」と呼び、激しく非難しました。(グーグルのオープンソース責任者、モバイル用ウイルス対策ソフト業者を非難)
一方、Android 向け無料アンチウイルスソフトはマルウェアに対してほとんど効果がないことが明らかにされました。(Android 向け無料アンチウイルスソフトは無意味)
2011 年(平成 23 年)11 月、Google でオープンソースソフトウェアの取り組みの責任者を務める Chris DiBona 氏は、Android、iOS、および Research in Motion の BlackBerry OS にはアンチウイルスソフトウェアは必要ないと主張し、携帯端末用アンチウイルスソフトウェアの販売企業を「いかさまなペテン師」と呼び、激しく非難しました。(グーグルのオープンソース責任者、モバイル用ウイルス対策ソフト業者を非難)
一方、Android 向け無料アンチウイルスソフトはマルウェアに対してほとんど効果がないことが明らかにされました。(Android 向け無料アンチウイルスソフトは無意味)
位置情報を本社に送信か
2011 年(平成 23 年)4 月、セキュリティ企業の F-Secure は、iPhone が 1 日に 2 回、ユーザーの位置情報を Apple に送信していると発表しました(Actually, iPhone sends your location to Apple twice a day)。
また、Android も位置情報を取得・蓄積し、Google に送信していることが分かったと、Wall Street Journal が報じています(Apple, Google Collect User Data)。
また、Android も位置情報を取得・蓄積し、Google に送信していることが分かったと、Wall Street Journal が報じています(Apple, Google Collect User Data)。
AndroidアプリとiPhone(iOS)アプリ
| チェックポイント | iOSアプリ | Androidアプリ |
|---|---|---|
| 配信ストア | AppStoreでは不審なアプリを配信拒否する。 | AndroidMarketではウイルスチェックは行われていない。 |
| ウイルス対策ソフト | 現時点では存在しない。 | Androidの特性上、システム領域のウイルスや不正を調べることができない。 |
| OSのアップデート | Appleにより随時アップデートが行われている。 | アップデートのタイミングが遅かったり、端末によってはアップデートできないことがある。 |
| その他 | OSのroot権限を奪われる危険性がある。 | - |
参考書籍
|
スマートフォンを買ったらスグにやっておきたい10の安全対策 | ||
| 著者 | X-1 | ||
| 出版社 | 秀和システム | ||
| サイズ | 単行本 | ||
| 発売日 | 2012年12月 | 
|
|
| 価格 | 1,296円(税込) |
 | |
| ISBN | 9784798035932 | ||
| ウィルス感染、個人情報流出、フィッシング詐欺…従来の携帯電話より高機能ゆえに危険度も高いスマートフォンを安心して使うために、いまスグできるセキュリティ対策のすべて。 | |||
|
スマートフォン術 情報漏えいから身を守れ | ||
| 著者 | 田淵義朗 | ||
| 出版社 | 朝日新聞出版 | ||
| サイズ | 新書 | ||
| 発売日 | 2011年03月 |
|
|
| 価格 | 799円(税込) |
| |
| ISBN | 9784022733856 | ||
| どこでも「モバイル」、意識の格納庫「クラウド」、社会と人のネットワーク「ソーシャル」-が1つの端末となった、まさに、その入り口となる驚異のマシンである。2011年は、スマートフォンが爆発的に普及する。それに伴なう情報漏えいは、個人・企業にとって大きな危険となる。そんな「頭のよい電話機」をどう使いこなすか、賢くつき合う方法。 | |||
|
スマートフォン 個人情報が危ない! | ||
| 著者 | 御池鮎樹 | ||
| 出版社 | 工学社 | ||
| サイズ | 単行本 | ||
| 発売日 | 2013年01月 |
|
|
| 価格 | 1,728円(税込) |
| |
| ISBN | 9784777517381 | ||
| 「Android」端末では、多くのユーザーが「フィッシング詐欺アプリ」に引っかかり、ネットバンクのアカウントが漏洩しました。「安全」と思われてきた「iPhone」も、「アドレス帳」を勝手に読み込むなど、個人情報をねらったアプリが登場しています。実際に起きたスマホの個人情報漏洩事件をもとに、どのようなマルウェアがあり、またどのように対策すればよいのか、具体例を挙げて丁寧に解説します。 | |||
参考サイト
- iPhone ・ iPad と個人情報:ぱふぅ家のホームページ
- Android と個人情報:ぱふぅ家のホームページ
- スマートフォンの利用者情報等に関する連絡協議会:SPSC
- 情報を抜き取るスマートフォンアプリに注意!:IPA,2012 年 9 月 5 日
- 利用者視点を踏まえた ICT サービスに係る諸問題に関する研究会提言「スマートフォン プライバシー イニシアティブ -利用者情報の適正な取扱いとリテラシー向上による新時代イノベーション-」(案)に対する意見募集:総務省,2012 年 6 月 29 日
- Mobile Apps Invading Your Privacy:Veracode のブログ,2011 年 4 月 5 日
- Pandora Media に連邦大陪審から召喚状--アプリでの情報共有に関する調査で:CNET Japan,2011 年 4 月 5 日
- What They Know - Mobile:THE WALLSTREET JOURNAL, 2010 年 12 月 18 日
- あなたのスマートフォンは大丈夫? 考えていますか?:トレンドマイクロ
- モバイルのセキュリティ-1:取り巻く脅威:McAfee
- モバイルのセキュリティ-2:必要な対策:McAfee
- 2 割の Android アプリが個人情報を取得 犯罪に悪用される恐れも:ITmedia
- Android アプリに不正ソフト、パスワード盗難の恐れ:ITmedia
(この項おわり)
総務省は 2012 年(平成 24 年)6 月、スマートフォンアプリが順守すべきプライバシー保護の基準などを示した提言「スマートフォン プライバシー イニシアティブ」を公開しました。