Androidと個人情報

(1/1)
日本国内でも販売台数が伸びている Android スマートフォンですが、「狙われるスマートフォン」で述べたように、登録されている個人情報を狙った攻撃や、ネットワークを介した乗っ取りが急増しています。
また、Android マーケットで有料アプリ購入者の詳細な個人情報がアプリ提供者に伝わってしまうという不具合が発生しました。

低価格Androidにトロイの木馬

Androidスマートフォン
2014 年(平成 26 年)12 月 12 日、Dr.Web アンチウイルスソフトウェアの開発元である Doctor Web によると、1 万円前後で買えるような低価格スマートフォンや 2 万円弱のタブレットで、マルウェアなどをダウンロードするトロイの木馬の一種である「Android.DownLoader.473.origin」がファームウェアに組み込まれているのが発見された。現時点で判明しているのは 26 機種だが、さらに多くの機種が感染している恐れがあるという。

Androidに許可なく通話発信される脆弱性

2014 年(平成 26 年)7 月 4 日、ドイツのセキュリティ企業 Curesec は、Android に不正なアプリを使ってユーザーの許可なく電話をかけたり通話を妨害したりできてしまう脆弱性があると情報公開しました。バージョン 4.1.1~4.4.2 に存在するとしています。
一方、Google は、この脆弱性について 2013 年(平成 25 年)末に報告したといい、6 月 19 日にリリースした 4.4.4 で修正したとしています。
ところが 4.4.4 は普及しておらず、大多数の Android に依然として脆弱性が存在しているとみられます。製造終了したスマートフォンではバージョンアップもないままです。

Samsung Galaxyにバックドアが発見される

オープンソース OS「Replicant」の開発者が、Samsung Galaxy シリーズのアプリケーションプロセッサに組み込まれたプロプライエタリ・プログラムが、ファイルシステムの I/O オペレーションをリモートで実行可能にするバックドアを搭載していることを発見しました。
このプログラムは、遠隔地からスマートフォンの記憶領域内にあるファイルにアクセスし、ファイルの読み込み・書き込み・削除が可能になるというもので、いくつかの機種では個人情報にアクセスする権利を有しているといいます。

プロプライエタリ・プログラムは非公開かつ変更不可あるため、その挙動を是正することは極めて困難です。

Replicant の開発者は、Galaxy シリーズの所有者は Samsung に説明を求めるべきだと主張しています。

アプリの97%が個人情報にアクセス

米HP が、Forbes誌による世界の有力企業ランキング「Global 2000」に選ばれた 601社による 2,107 件のモバイルアプリを調査したところ、その 97%が何らか形で利用者のデバイス内にある個人情報にアクセスしていることが分かりました。
HP の担当者は、アプリの中には個人情報にアクセスする正当な理由を持っているものもあったが、多くはセキュリティ脆弱性を有しており、利用者の個人情報をリスクに曝す可能性を高めていると語っています。

調査では、75%のモバイルアプリは、ユーザーデータに対して適切な暗号化技術を採用していませんでした。SSL 暗号化については、正しく利用しているアプリは、わずか 18%でした。

メール利用で高齢者をだます手口も

2013 年(平成 25 年)5 月、米セキュリティ企業 F-Secure の報告によると、Android を狙う攻撃の手口が多様化しているといいます。これまでのようなアプリ経由ではなく、電子メールスパムを通じて配布されている Android マルウェアも初めて見つかりました。

Stels などのマルウェアは、米国の国税当局からの通知に見せかけたメールを送りつけ、Android クライムウェアキットを使って端末から情報を盗んだり、有料ダイヤルに無断で電話したりする機能を持つといいます。
アプリを使わないような高齢者をだます手口として使われるのではないかと懸念されます。

不正アプリで1000万件以上の個人情報流出

2012 年(平成 24 年)10 月 30 日、Android の電話帳のデータを無断で外部に流出させるアプリを配信させたとして、男女 5 人が逮捕されました。この Android アプリは「ぴよ盛り the movie」という名で Google の公式アプリストアで配信されていました。
その他、人気ゲームの題名の後に「the Movie」と付けてつくられた不正アプリは 50種類以上あり、これまでに 9 万人がダウンロードし、情報漏洩は 1100 万件を超える見込みです。

トレンドマイクロの発表によれば、今回の流出事件が発生した 2012 年(平成 24 年)4 月当時の Android 不正アプリ数はおよそ 11,000。そして、2012 年(平成 24 年)9 月時点では 175,000 もの不正アプリが報告されています。およそこの 5 ヶ月で 15 倍にまで数が増えていることがわかります。

ところがその後、捜査が行き詰まりました。2012 年(平成 24 年)11 月に容疑者らが釈放され、12 月 26 日には東京地方検察庁が不起訴処分を決めました。
これに呼応するように、2013 年(平成 25 年)に入り、ふたたび不正な Android アプリが増加しています。

Androidアプリのリスクをチェックできるサイト「secroid」

2012 年(平成 24 年)10 月、セキュリティ企業のネットエージェントは、Android アプリに内在するリスクを独自にランク付けした結果を参照できるサイト「secroid (セキュロイド) 」を公開しました。利用は無料です。

Google Play のほか、SQUARE ENIX MARKET などゲームメーカーの独自マーケットも対象に、現時点で約 20 万種類のアプリについて、ネットエージェントが定義するリスクレベルに応じて「DANGER」「HIGH」「MID」「LOW」「SAFE」の 5 段階に分類しています。
インストール時に求められる権限(パーミッション)の項目から単純に判断しているのではなく、例えばアプリが送受信するデータの種類に個人情報が含まれるかどうかといった観点などからも評価している点が特徴です。

ウイルス対策ソフトをかたる悪質なAndroidアプリ

シマンテックは 2012 年(平成 24 年)9 月 26 日、ウイルス対策ソフトをかたる悪質な Android アプリ「安心ウイルススキャン」が確認されたとして注意を呼びかけています(モバイルデバイス上の連絡先を盗む偽ウイルス対策アプリ)。インストールすると、スマートフォンなどに保存してある連絡先(アドレス帳)のデータを盗まれるといいます。

このアプリは、非公式のアプリ配布サイトに置かれており、アプリの配布には迷惑メールが使われています。迷惑メールに記載されているリンクをクリックすると配布サイトに誘導され、該当のアプリがダウンロードされそうになります。
この配布サイトは、公式サイト「Google Play」と似た内容にして、ユーザーをだまそうとします。

シマンテックでは、こういった悪質アプリの被害に遭わないためには、送信者が不明なメールで紹介されているアプリをダウンロードしないことが重要だとしています。

2013 年(平成 25 年)7 月 24 日、「安心ウイルススキャン」でスマートフォンから電話帳データを抜き取り、運営する出会い系サイトへのスパムメールを送信したとして、千葉県警は特定電子メール法違反などの疑いで東京都内の IT関連会社社長の男ら 9 人を逮捕しました。
抜き取られたデータは約 3700 万人分に及ぶ可能性があるといいます。

パーミッションを一切要求しないAndroidアプリがデータを外部に送信する可能性

Android アプリにはネットワーク接続や個人情報データの読み取り、ストレージへの書き込みなどの処理に対するパーミッション設定があり、パーミッション要求の設定されていないアプリでは該当するリソースへのアクセスができないようになっています。
しかし、パーミッション要求を一切しないアプリであっても、状況によって個人データを読み取ってサーバーに送信できる可能性があることが明らかになりました。(パーミッションを一切要求しない Android アプリがデータを外部に送信する可能性

たとえば、SD カードにはさまざまなデータが保存されるのにも関わらず、読み取りについてはパーミッション設定が存在しません。そのため、暗号化されていない情報は任意のアプリで読み取れます。
本体メモリにデータを保存する場合も、アプリが適切なアクセス許可を設定していなければ、他のアプリから読み取られる可能性があります。
アプリは URL を指定して Web ブラウザーを起動できますが、こちらもパーミッションは要求されません。そのため、インターネットアクセスが許可されていないアプリであっても、URL にパラメーターとして指定することで、サーバーにデータを送信することが可能となっているのです。

有料アプリで個人情報流出

2012 年(平成 24 年)1 月、Android マーケットで有料アプリを購入した際、アプリ提供者に購入者の個人情報が通知される不具合が発覚し、Google が修正しました。

問題となったのは e コマースや Android マーケットでの課金に利用されている決済サービス「Google Checkout」で、販売者側で利用する管理画面に本来は表示されない詳細な住所と電話番号が表示されていたという不具合があったということです。
Google Checkout は世界中に提供されているサービスで、今回の不具合も日本だけではなく世界が対象となっています。Google によれば、Google Checkout のグローバルのアカウント数(ユーザー数)は「数百万件」で、販売者のサイトは「数十万件」ということです。
なお、Google は利用規約で氏名やメールアドレスなどはアプリ提供者に送られると説明していますが、「Google のモバイル プライバシー ポリシー」において下記のように記されているだけです。いずれにしても、従来の携帯電話アプリと個人情報の扱いが異なる点に注意が必要です。

•Google のサービスやツールを介して商品を購入した場合は、ユーザーの情報を請求と請求に関する問題の処理に使用します。


こうした問題を受け、総務省と経済産業省が調査に乗り出しました。

Androidアプリの約40%に欠陥?

2012 年(平成 24 年)1 月、セキュリティ診断を手掛ける米Veracode が金融機関や医療関連企業の従業員が使う企業向けの Android アプリを調査したところ、アプリの 40%に欠陥が見つかり、最悪の場合、暗号化されたはずのデータが外部に漏洩するといいます。

問題の欠陥のひとつは、暗号鍵をハードコーディングしているというものです。
これは暗号化するための鍵をプログラムに埋め込む方式ですが、Android アプリは比較的簡単に解析ができてしまうため、悪意のある者が暗号鍵を取り出すことができてしまいます。その結果、そのアプリを使っている利用者/企業/団体が暗号化していたと考えていたはずのデータが、簡単に取り出せてしまうことになります。

その他にも欠陥が見つかりましたが、いずれも、開発期間やコストを抑えようとする安易な体制や、洗練されていない開発ツールを使った結果生じたものでした。

位置情報などを無断送信

2012 年(平成 24 年)1 月、KDDI の研究所が Android マーケットで配布されている人気アプリの上位 400 本を調べたところ、約 6%のアプリが端末 ID のほかに電話番号や端末の位置情報、メールアドレス、利用アプリ一覧などを無断で外部に送信していたことが分かりました。

アップログとアップTV

ベンチャー企業のミログは、Android スマートフォン利用者に無断で、端末固有番号やインストール済みのアプリの名称、起動時間などを収集し、ミログに送るというアップログ(AppLog)というプログラムを配布していました。さらに、このプログラムを動画やマンガを配信するアップ TV(AppTV)に組み込んで配布していました。
もともとは企業のマーケティング・リサーチ用に開発されたプログラムですが、利用者に無断で情報収集していることがプライバシー保護に反するということで問題になっています。
2011 年(平成 23 年)10 月 26 日、ミログはアップログに関するすべてのサービスを終了すると発表しました。また、これまでに収集したデータは破棄するとしています。

Android スマートフォンの利用者がどんなアプリケーションを使っているか把握し、本人の性別や年代、好み、端末の利用頻度などを推測する行動ターゲティング分析のためにアップログは開発されました。
アップログは無償配布の SDK という形で配布され、他のアプリケーションに組み込んでもらうことを想定しています。収集する情報は、AndroidID、機種情報、OS 情報、インストール済みのアプリケーションと起動しているアプリケーションです。これらの情報を一定間隔で収集し、ミログに自動送信するようになっています。
ミログは、アプログを組み込んだアプリケーションの開発者に対し、情報収集できるようになったスマートフォン 1 台につき 1 円の対価を請求するというビジネスモデルになっています。さらに集めた情報をインターネット広告会社に渡して共同で解析し、スマートフォンにどんな広告を配信するかを決めるための材料にしていました。

問題となったのは、アプログが利用者の許可なくこうした情報を送信するプログラムだったことです。
ミログはこの点について、「以前から情報を送信する際は事前にスマートフォン利用者の許諾を求める仕組み(オプトイン)を採用していたが、このオプトインの画面を変更し、送信する情報の詳細とその用途をより明確に説明するようにした」としています。

ミログは第三者委員会を設置して内部調査を進めると同時に、事業の見直しを検討してきましたが、事業環境を総合的に判断した結果、2012 年(平成 24 年)4 月 2 日、役員会ならびに株主総会にて会社の解散と清算を決定しました。(なぜミログは解散に至ったのか、城口代表に聞く

利用上の注意点

IPA(独立行政法人情報処理推進機構)は 2011 年(平成 23 年)8 月、「スマートフォンを安全に使おう!」と題して対策を発表しています。
理由は後述しますが、私は Android スマートフォンの運用にはもっと注意を払うべきだと思います。

IPA の対策と重複する部分もありますが、Android スマートフォンを利用している方は、以下の点に注意しましょう。
  1. 公式 Android マーケットのアプリだからといって信用してはいけない。
  2. お金を惜しまずに市販セキュリティソフトを導入する。
  3. Linux のセキュリティ運用について勉強する。
  4. 安価な海外製品を購入したり、Android の改造に手を出さない。


IPA は、Android アプリをインストールする前に、情報収集を行うこともポイントだとしています(→あなたを狙うスマホアプリに要注意!)。
ユーザーがアプリに関する情報を投稿できるストアなどでは
  1. レビュー記事に悪い評判は書かれていないか
  2. アプリ開発者が他に公開しているアプリの評判に悪いものがないか
  3. 開発者やアプリ名をインターネットで検索して悪い評判や噂などはないか
を確認することで、悪い評判や噂がある場合はインストールをいったん見送るべきといいます。

『個人情報ダダ漏れです!』の著者である関東学院大学経済学部准教授の岡嶋裕史さんは、「ネットの世界を特別視しないこと」として、「例えば、リアルの世界では道に落ちているものを持ち帰って食べることはしない。ネットの世界も同じで、無料だからといってよくわからないファイルを開いたり、アプリを疑いなく取り込むといった行動は慎むべきだ」とアドバイスしています。

本当は怖い Android

Android スマートフォン、携帯電話というより Linux パソコンの一種と考えた方がいいでしょう。
実際にAndroid タブレットを使ってみてわかったのですが、セキュリティを保つためには Linux の運用に関する知識が要求されます。少なくとも、国内用携帯電話(いわゆるガラケー)のように万人が安心して利用できるレベルにはありません。

Linux は Windows に比べてセキュリティが高いと言われることがありますが、運用を考えると、かならすしもそうとは言えません。
Linux は、Windows に比べてシステムの自由度が高くなっています。とくに root (ルート)  権限を与えられたユーザーは、何でもできてしまいます。Android スマートフォンの場合、アドレス帳やメール内容はもちろんのこと、クレジットカード番号を盗み見たり、通話を盗聴することも可能です。
Linux では、root 権限を利用できるユーザーは一部の管理者だけになるように細心の注意を払って運用されています。Android スマートフォンを利用するにも同様の注意が必要なのです。

また、いままでは Linux 利用者がそのものが少なかったり、Windows に比べてビジネス利用が少なかったために、悪意のあるアタッカーたちも攻撃対象としてきませんでした。ところが、Android スマートフォンにクレジットカード番号が入っているとなると話は別です。
Android を狙うマルウェアは急増し、ついに携帯電話OS の雄である Symbian 上で発見されたマルウェアを追い越してしまいました。

root 権限を奪うマルウェアは、Android バージョン 2.3 まで発見されています。技術的には最新の Android バージョン 3 の root 権限を奪うことも可能と見られています。OS を最新版にしたからといって油断はできません。

セキュリティ対策ソフトの状況



2012 年(平成 24 年)3 月、セキュリティ製品の性能評価を手掛ける第三者機関の AV-TEST が、Android 向けウイルス対策製品の性能を比較した報告書を発表しました。
検出率90%を超す最上位グループに入ったのは、Avast、Dr. Web、F-Secure、Ikarus、Kaspersky、Zoner、Lookout の 7製品でした。一方、全体の約 3 分の 2 は検出率が 65%に満たず、まだ信頼できる製品にはなっていないと結論付けています。

Androidウイルスの例

出現時期 名称 特徴 配布場所
2010年8月 Fake Player 動画再生アプリに見せかけ、有料のメッセージサービスを勝手に利用させる。 非公式の配布サイト
2010年8月 Tap Snake ゲームアプリに潜伏し、携帯の位置情報を取得して特定のサーバーへ送信する。 Androidマーケット(現在は公開停止)
2010年12月 Gemini 複数のゲームアプリに潜伏し、携帯を乗っ取り、攻撃者が操作できるようにする。 非公式の配布サイト

Android初のボット

2010 年(平成 22 年)12 月 31 日、Android で動作する初めてのボットが検出されました。感染するとバックグラウンドで動作し、攻撃者が指定したサーバーに 5 分おきにアクセスして、攻撃者からの命令を待ち受けるというものです。

このボット・ウイルスは、正規サイトで配布されているゲームアプリに混入され、非公式のアプリ配布サイトで配布されています。
被害に遭わないためには、信頼できるサイトからのみアプリをダウンロードすることが第一です。アプリをインストールする際に表示される警告を確認することや、スマートフォンなどの振る舞いに異常がないかどうかチェックすることも大切です。

日本語版アプリにもマルウェア混在

シマンテックによると、2011 年(平成 23 年)2 月、日本語版アプリに初めてマルウェアの混在が確認されました。

マルウェアの混在が確認されたのは「いっしょにとれーにんぐ for Android」というアプリの海賊版で、正規版が Android マーケットで 525 円で販売されているのに対して、第三者のアプリ配布サイトでは無料で入手できるといいます。
基本的に正規のアプリと見た目や動作は変わりませんが、バックグラウンドで「Android.Geinimi」というマルウェアが動作しています。
また、海賊版では個人情報や送受信したメッセージ、現在地、ネットワーク通信、ストレージ、電話・通話、システムツールといった、あらゆる項目へのアクセス許可を要求してきます。

公式マーケットでもマルウェアが仕込まれる

2011 年(平成 23 年)3 月、トロイの木馬を仕込んだアプリケーションが公式の Android マーケットで提供されていることが発見されました。いずれも他者のアプリケーションにトロイの木馬を仕込んだ海賊版でした。

Google は問題のアプリケーションを削除する措置をとりましたが、ユーザーがこうした不正アプリの被害に遭わないためには、インストールの過程で求められるアクセス許可の内容をすべてチェックすることが望ましいとしています。

2012 年(平成 24 年)1 月、マルウェア「Android.Counterclank」を組み込んだアプリが 13 本、公式の Android マーケットで発見されました。最大で 500 万人のユーザーがダウンロードしたといいます。(Symantec による報告

公衆無線LANで情報流出の恐れ

2011 年(平成 23 年)5 月、ドイツの研究者が、Android 搭載端末を公衆無線LAN で利用しているとき、Google のカレンダーアプリケーションや連絡先アプリケーションの情報が暗号化されないまま転送され、他人に情報を傍受されたり、改ざんされたりする恐れがあることを発表しました。Android を搭載したスマートフォンの 99.7%がこの脆弱性の影響を受けるとしています。

対策としては、Android 2.3.4 へのアップデート、公衆無線LAN に接続する際の自動同期設定を無効にするなどの対策を挙げています。

進化するマルウェア

2011 年(平成 23 年)8 月、米CA Technologies は、Google の Android を搭載した携帯電話の通話内容を録音してしまうマルウェアが出現したと報じました。

2010 年(平成 22 年)10 月、最初は無害だった Android アプリケーションが、アップデートによってマルウェアに切り替わってしまうという手口が新たに発見されました。いったんインストールしてしまうと、更新の都度、アクセス許可をチェックしないというユーザー心理を逆手に取ったものです。
問題のアプリケーションは「com.ps.keepaccount」という中国語のもので、正規の Android マーケットではなくサードパーティー市場で配布されていました。
最初にダウンロードした時点ではマルウェアの痕跡は見当たらないのですが、インストールするとすぐに「新版」が利用できるとの通知が出ます。この新版を導入すると、「DroidKungFu」というトロイの木馬の亜種に感染する仕組みです。感染すると、位置情報や root 権限も取得されてしまいます。

参考書籍

表紙 個人情報ダダ漏れです!
著者 岡嶋裕史
出版社 光文社
サイズ 新書
発売日 2013年09月18日
価格 799円(税込)
rakuten
ISBN 9784334037628
自分だけは大丈夫…と思ったら大間違い。「個人情報流出あるある」に学ぶ、スマホ時代の自己防衛術。
 
表紙 Androidスマートフォンのセキュリティが鉄壁になる本
著者
出版社 晋遊舎
サイズ ムックその他
発売日 2011年10月
価格 1,234円(税込)
rakuten
ISBN 9784863913974
 
表紙 スマートフォンの業務利用におけるセキュリティ対策
著者
出版社 晋遊舎
サイズ ムックその他
発売日 2011年10月
価格 1,234円(税込)
rakuten
ISBN 9784863913974
 

参考サイト

(この項おわり)
header