スマートフォンと個人情報

アメリカで Android 携帯向けに販売されているアプリケーションを調べたところ、個人情報へのアクセスを許してしまうものが多数見つかりました。

総務大臣は 2011 年 10 月、スマートフォンに関わるセキュリティー問題が深刻化していることを踏まえ、対応策の研究会を設置する方針を明らかにしました。

スマートフォンを狙った架空請求が急増

東京都生活文化局の調べによると、スマートフォンを狙った架空請求が急増しています。。料金請求画面を残し、電話やメールなどで執拗に請求することにより、利用者を心理的に追い込もうとする手口が目立ちます。（スマートフォンを狙った架空請求が激増，東京都生活文化局 2012 年 3 月 23 日）
生活文化局は、こうした悪質な事業者とは連絡をとらずに無視すべきとアドバイスしています。また請求などに対しては、必要に応じて電話の受信・着信拒否機能の利用、メールアドレスを変更すべきとしています。

スマートフォンには出荷時にスパイウェアが入っている？

スマートフォンの情報を勝手に収集するとして、米Carrier IQ と米Apple、米AT＆T、米Sprint、ドイツ Deutsche Telekom の米子会社T-Mobile、台湾 HTC、米Motorola、韓国 Samsung の合計8社に対する集団訴訟が 2011 年 12 月 2 日、アメリカで提起されました。（ITpro, 2011 年 12 月 6 日より）

問題となっているのは「Carrier IQ」というソフトウェアで、Android や iPhone に最初からインストールされています。ユーザーの利便性向上を図るため、スマートフォンへのキー入力や SMS メッセージ、Web ブラウジングなどの情報を収集しているといいます。
り）

Carrier IQ はルートキットとしてインストールされるため無効化は難しく、拒否の手段も提供されていません。こうした特徴から、プライバシー保護に反するのではないかと非難の的になったのでした。（ASCII.jp, 2011 年 12 月 6 日より）

米Carrier IQ によると、Carrier IQ のエージェントは世界で約 1 億 6000 万台の携帯電話にインストールされているといいます。メーカーが「自社端末の性能について、フィードバックループがほしいと思っている」ために、Carrier IQ を提供しているとしています。（ASCII.jp, 2011 年 12 月 9 日より）

こうした騒動を受け、日本のキャリアは 2011 年 12 月、以下のように回答しています。（ケータイウォッチ、2011 年 12 月 8 日より）

KDDI	搭載していない（動作していない）
NTT ドコモ	搭載していない
ソフトバンクモバイル	搭載していない
イー・モバイル	搭載されていないと認識している
アップル	搭載している

Androidアプリの脆弱性

携帯電話向けセキュリティ製品を手掛ける米SMobile Systems が Google の Android 携帯向けアプリケーションストアで販売されている約 4 万 8000 本のアプリケーションについて調査したところ、他のアプリケーションから個人情報や機密情報にアクセスできてしまうものが 2 割に上りました。

さらに、任意の電話番号に発信することを許可してしまうアプリケーションが 5％、高い通信料を設定した「プレミアム SMS」の送信を許可してしまうものが 2％あったほか、スパイウェアのような機能を持つアプリケーションも見つかりました。

SMobile Systems は、「ユーザーの個人情報を入手するため悪質な意図でコードを開発し、自分たちの利益のためにその情報を使っている個人や組織が存在する」と指摘しています。

不正アプリの販売

2010 年 1 月、米Google の Android 携帯向けアプリストアで、オンラインバンキングアプリに見せかけてパスワードなどの情報を盗み出す不正アプリが販売されていたことが分かりました。
問題の不正アプリは「Droid09」という匿名の開発者が、オンラインバンキングアプリに見せかけて作成したもので、実在の金融機関名をかたり、ユーザー名やパスワードなどの情報が盗み出された可能性があるとのことです。

無断で個人情報を送信か？

2010 年 12 月 18 日、米ウォールストリート・ジャーナル紙は、スマートフォンで音楽を聴く際などに利用するアプリから、年齢や性別などの個人情報が外部の広告会社に漏れている例があると報じました。
101種類のアプリを調べたところ、56種が利用者の許諾を得ずに携帯電話固有の識別番号を外部の会社に送信、47種が位置情報を、5種は年齢や性別を送っていたということです。（What They Know - Mobile）

2011 年 4 月、米セキュリティ会社Veracode の調査によると、Android用の無料アプリが使用する広告ライブラリーに、ユーザーの個人情報などを広告プロバイダーに送信するコードが含まれていたそうです。
たとえば、インターネットラジオ Pandora（日本からは視聴できない）の iPhone 版／Android 版ともに、ユーザーの年齢、性別、場所、端末固有の情報を複数の広告プロバイダーに送信していたといいます。

対策は

今のところ日本での報告はありませんが、信頼できるアプリケーション以外には個人情報を登録しないようにするのが無難です。

2011 年 11 月、Google でオープンソースソフトウェアの取り組みの責任者を務める Chris DiBona 氏は、Android、iOS、および Research in Motion の BlackBerry OS にはアンチウイルスソフトウェアは必要ないと主張し、携帯端末用アンチウイルスソフトウェアの販売企業を「いかさまなペテン師」と呼び、激しく非難しました。（グーグルのオープンソース責任者、モバイル用ウイルス対策ソフト業者を非難）

一方、Android 向け無料アンチウイルスソフトはマルウェアに対してほとんど効果がないことが明らかにされました。（Android 向け無料アンチウイルスソフトは無意味）

位置情報を本社に送信か

2011 年 4 月、セキュリティ企業の F-Secure は、iPhone が 1 日に 2 回、ユーザーの位置情報を Apple に送信していると発表しました（Actually, iPhone sends your location to Apple twice a day）。

また、Android も位置情報を取得・蓄積し、Google に送信していることが分かったと、Wall Street Journal が報じています（Apple, Google Collect User Data）。

AndroidアプリとiPhone(iOS)アプリ

チェックポイント	iOSアプリ	Androidアプリ
配信ストア	AppStoreでは不審なアプリを配信拒否する。	AndroidMarketではウイルスチェックは行われていない。
ウイルス対策ソフト	現時点では存在しない。	Androidの特性上、システム領域のウイルスや不正を調べることができない。
OSのアップデート	Appleにより随時アップデートが行われている。	アップデートのタイミングが遅かったり、端末によってはアップデートできないことがある。
その他	OSのroot権限を奪われる危険性がある。	－

参考サイト

iPhone ・ iPad と個人情報（ぱふぅ家のホームページ）
Android と個人情報（ぱふぅ家のホームページ）
Mobile Apps Invading Your Privacy（Veracode のブログ，2011 年 4 月 5 日）
Pandora Media に連邦大陪審から召喚状--アプリでの情報共有に関する調査で（CNET Japan，2011 年 4 月 5 日）
What They Know - Mobile（THE WALLSTREET JOURNAL, 2010 年 12 月 18）
スマートフォンのセキュリティー（読売新聞）
あなたのスマートフォンは大丈夫？　考えていますか？（トレンドマイクロ）
モバイルのセキュリティ-1：取り巻く脅威（McAfee）
モバイルのセキュリティ-2：必要な対策（McAfee）
2 割の Android アプリが個人情報を取得　犯罪に悪用される恐れも（ITmedia）
Android アプリに不正ソフト、パスワード盗難の恐れ（ITmedia）

（この項おわり）