中古スマホは個人情報の宝庫
2014年(平成26年)7月、アンチウイルスソフトを販売するアバストの調べで、ネット販売されている中古スマートフォンの多くから個人情報をいくらでも抜き出せる状態であることが分かりました。
アバストが購入した20台の中古スマートフォンは、いずれも手動でデータが削除されていましたが、データ復旧ソフトを使用することで消去されたはずのデータを復旧することに成功したといいます。
20台の中古スマートフォンから復旧できた画像データは全部で4万ファイルにも及びました。家族や子どもの写真が1500枚以上、裸体の女性の写真が750枚以上、所有者と思われる男性のセルフヌード写真が250枚以上含まれていたそうです。
20台の中古スマートフォンから復旧できた画像データは全部で4万ファイルにも及びました。家族や子どもの写真が1500枚以上、裸体の女性の写真が750枚以上、所有者と思われる男性のセルフヌード写真が250枚以上含まれていたそうです。
米国ではスパイウェア入りスマホを堂々と販売
セキュリティ企業の英ソフォスは、2014年(平成26年)3月17日、米mSpy社がスパイウェア入りのスマートフォンを販売していると伝えた。
インストールされるスパイウェア「mSpy」は、通話内容の録音や発着信履歴およびメール、SMSなどの盗み見、GPSによる位置の追跡といった機能を備えている。mSpy社は、購入したユーザーがこのスマートフォンを他人にプレゼントしてその利用履歴などを盗み見る、といった用途を想定しているようだ。
インストールされるスパイウェア「mSpy」は、通話内容の録音や発着信履歴およびメール、SMSなどの盗み見、GPSによる位置の追跡といった機能を備えている。mSpy社は、購入したユーザーがこのスマートフォンを他人にプレゼントしてその利用履歴などを盗み見る、といった用途を想定しているようだ。
商品としては最新機種を用意。Nexus 5、iPhone 5S、HTC One、Galaxy S4の4機種で、価格は649.99ドルから。mSpyアプリを含まない機種より200ドルほど高いという。
mSpyでは、このスマートフォンを渡した相手の許可を得るよう説明し、合法であると主張している。だが、ソフォスはあまりにもひどい商品であると非難。このような商品には気を付けるよう注意を促している。
mSpyでは、このスマートフォンを渡した相手の許可を得るよう説明し、合法であると主張している。だが、ソフォスはあまりにもひどい商品であると非難。このような商品には気を付けるよう注意を促している。
スマートフォンを狙った架空請求が急増
東京都生活文化局の調べによると、スマートフォンを狙った架空請求が急増しています。料金請求画面を残し、電話やメールなどで執拗に請求することにより、利用者を心理的に追い込もうとする手口が目立ちます。
生活文化局は、こうした悪質な事業者とは連絡をとらずに無視すべきとアドバイスしています。また請求などに対しては、必要に応じて電話の受信・着信拒否機能の利用、メールアドレスを変更すべきとしています。
生活文化局は、こうした悪質な事業者とは連絡をとらずに無視すべきとアドバイスしています。また請求などに対しては、必要に応じて電話の受信・着信拒否機能の利用、メールアドレスを変更すべきとしています。
スマートフォンを狙った架空請求が激増,東京都生活文化局 2012年3月23日
消費者センターに寄せられる架空・不当請求に関する相談は2010年(平成22年)に減少しましたが、再び増加傾向にあります。2014年度は5年ぶりに6万件に迫る状況です。スマートフォンの普及により、インターネット経由で悪質業者のサイトへ誘導されるケースが増えているとみられます。公的機関を装った業者に相談を持ち掛け、不当な料金を請求される2次被害も目立っています。
東京都消費生活総合センターは「公的な相談機関は料金を一切請求しません。被害に遭ったら、あわてずに連絡してほしい」と注意を呼びかけています。
また、国民生活センターでは「悪質な『利用した覚えのない請求』が横行しています」と注意を呼びかけています。
東京都消費生活総合センターは「公的な相談機関は料金を一切請求しません。被害に遭ったら、あわてずに連絡してほしい」と注意を呼びかけています。
また、国民生活センターでは「悪質な『利用した覚えのない請求』が横行しています」と注意を呼びかけています。
総務省がスマホプライバシー基準を公開
総務省は、スマートフォンアプリが順守すべきプライバシー保護の基準などを示した提言「スマートフォン プライバシー イニシアティブ」を公開しました。
今回の提言では、次のように情報の取り扱いに関する具体的な基準を示すなど、適正か、不適かの線引きを明確にしています。
また、2012年(平成24年)12月、スマートフォンにおけるプライバシー情報の取り扱いに関して、通信業界やゲーム業界、広告業界など22の業界団体が参画する、スマートフォンの利用者情報等に関する連絡協議会(SPSC、Smartphone Privacy and Security Council)は20日、活動内容の報告、関連資料をまとめて掲載するポータルサイトを開設しました。
今回の提言では、次のように情報の取り扱いに関する具体的な基準を示すなど、適正か、不適かの線引きを明確にしています。
- 契約者・端末固有IDなどは個人情報に準じた形で扱う
- プライバシーポリシーに、情報の利用目的を具体的に示す
- プライバシー侵害に繋がる情報を取得・利用する場合、個別に同意を得る
- 取得・利用の同意を撤回する機会を提供する
また、2012年(平成24年)12月、スマートフォンにおけるプライバシー情報の取り扱いに関して、通信業界やゲーム業界、広告業界など22の業界団体が参画する、スマートフォンの利用者情報等に関する連絡協議会(SPSC、Smartphone Privacy and Security Council)は20日、活動内容の報告、関連資料をまとめて掲載するポータルサイトを開設しました。
スマートフォンには出荷時にスパイウェアが入っている?
スマートフォンの情報を勝手に収集するとして、米Carrier IQと米Apple、米AT&T、米Sprint、ドイツDeutsche Telekomの米子会社T-Mobile、台湾HTC、米Motorola、韓国Samsungの合計8社に対する集団訴訟が2011年(平成23年)12月2日、アメリカで提起されました。(ITpro, 2011年(平成23年)12月6日より)
問題となっているのは「Carrier IQ」というソフトウェアで、AndroidやiPhoneに最初からインストールされています。ユーザーの利便性向上を図るため、スマートフォンへのキー入力やSMSメッセージ、Webブラウジングなどの情報を収集しているといいます。
り)
問題となっているのは「Carrier IQ」というソフトウェアで、AndroidやiPhoneに最初からインストールされています。ユーザーの利便性向上を図るため、スマートフォンへのキー入力やSMSメッセージ、Webブラウジングなどの情報を収集しているといいます。
り)
Carrier IQはルートキットとしてインストールされるため無効化は難しく、拒否の手段も提供されていません。こうした特徴から、プライバシー保護に反するのではないかと非難の的になったのでした。(ASCII.jp, 2011年(平成23年)12月6日より)
米Carrier IQによると、Carrier IQのエージェントは世界で約1億6000万台の携帯電話にインストールされているといいます。メーカーが「自社端末の性能について、フィードバックループがほしいと思っている」ために、Carrier IQを提供しているとしています。(ASCII.jp, 2011年(平成23年)12月9日より)
こうした騒動を受け、日本のキャリアは2011年(平成23年)12月、以下のように回答しています。
米Carrier IQによると、Carrier IQのエージェントは世界で約1億6000万台の携帯電話にインストールされているといいます。メーカーが「自社端末の性能について、フィードバックループがほしいと思っている」ために、Carrier IQを提供しているとしています。(ASCII.jp, 2011年(平成23年)12月9日より)
こうした騒動を受け、日本のキャリアは2011年(平成23年)12月、以下のように回答しています。
| KDDI | 搭載していない(動作していない) |
| NTTドコモ | 搭載していない |
| ソフトバンクモバイル | 搭載していない |
| イー・モバイル | 搭載されていないと認識している |
| アップル | 搭載している |
Androidアプリの脆弱性
携帯電話向けセキュリティ製品を手掛ける米SMobile SystemsがGoogleのAndroid携帯向けアプリケーションストアで販売されている約4万8000本のアプリケーションについて調査したところ、他のアプリケーションから個人情報や機密情報にアクセスできてしまうものが2割に上りました。
さらに、任意の電話番号に発信することを許可してしまうアプリケーションが5%、高い通信料を設定した「プレミアムSMS」の送信を許可してしまうものが2%あったほか、スパイウェアのような機能を持つアプリケーションも見つかりました。
さらに、任意の電話番号に発信することを許可してしまうアプリケーションが5%、高い通信料を設定した「プレミアムSMS」の送信を許可してしまうものが2%あったほか、スパイウェアのような機能を持つアプリケーションも見つかりました。
SMobile Systemsは、「ユーザーの個人情報を入手するため悪質な意図でコードを開発し、自分たちの利益のためにその情報を使っている個人や組織が存在する」と指摘しています。
不正アプリの販売
2010年(平成22年)1月、米GoogleのAndroid携帯向けアプリストアで、オンラインバンキングアプリに見せかけてパスワードなどの情報を盗み出す不正アプリが販売されていたことが分かりました。
問題の不正アプリは「Droid09」という匿名の開発者が、オンラインバンキングアプリに見せかけて作成したもので、実在の金融機関名をかたり、ユーザー名やパスワードなどの情報が盗み出された可能性があるとのことです。
問題の不正アプリは「Droid09」という匿名の開発者が、オンラインバンキングアプリに見せかけて作成したもので、実在の金融機関名をかたり、ユーザー名やパスワードなどの情報が盗み出された可能性があるとのことです。
無断で個人情報を送信か?
2010年(平成22年)12月18日、米ウォールストリート・ジャーナル紙は、スマートフォンで音楽を聴く際などに利用するアプリから、年齢や性別などの個人情報が外部の広告会社に漏れている例があると報じました。
101種類のアプリを調べたところ、56種が利用者の許諾を得ずに携帯電話固有の識別番号を外部の会社に送信、47種が位置情報を、5種は年齢や性別を送っていたということです。
2011年(平成23年)4月、米セキュリティ会社Veracodeの調査によると、Android用の無料アプリが使用する広告ライブラリーに、ユーザーの個人情報などを広告プロバイダーに送信するコードが含まれていたそうです。
たとえば、インターネットラジオPandora(日本からは視聴できない)のiPhone 版/Android 版ともに、ユーザーの年齢、性別、場所、端末固有の情報を複数の広告プロバイダーに送信していたといいます。
101種類のアプリを調べたところ、56種が利用者の許諾を得ずに携帯電話固有の識別番号を外部の会社に送信、47種が位置情報を、5種は年齢や性別を送っていたということです。
2011年(平成23年)4月、米セキュリティ会社Veracodeの調査によると、Android用の無料アプリが使用する広告ライブラリーに、ユーザーの個人情報などを広告プロバイダーに送信するコードが含まれていたそうです。
たとえば、インターネットラジオPandora(日本からは視聴できない)のiPhone 版/Android 版ともに、ユーザーの年齢、性別、場所、端末固有の情報を複数の広告プロバイダーに送信していたといいます。
対策は
今のところ日本での報告はありませんが、信頼できるアプリケーション以外には個人情報を登録しないようにするのが無難です。
2011年(平成23年)11月、Googleでオープンソースソフトウェアの取り組みの責任者を務めるChris DiBona氏は、Android、iOS、およびResearch in MotionのBlackBerry OSにはアンチウイルスソフトウェアは必要ないと主張し、携帯端末用アンチウイルスソフトウェアの販売企業を「いかさまなペテン師」と呼び、激しく非難しました。(グーグルのオープンソース責任者、モバイル用ウイルス対策ソフト業者を非難)
一方、Android向け無料アンチウイルスソフトはマルウェアに対してほとんど効果がないことが明らかにされました。(Android向け無料アンチウイルスソフトは無意味)
2011年(平成23年)11月、Googleでオープンソースソフトウェアの取り組みの責任者を務めるChris DiBona氏は、Android、iOS、およびResearch in MotionのBlackBerry OSにはアンチウイルスソフトウェアは必要ないと主張し、携帯端末用アンチウイルスソフトウェアの販売企業を「いかさまなペテン師」と呼び、激しく非難しました。(グーグルのオープンソース責任者、モバイル用ウイルス対策ソフト業者を非難)
一方、Android向け無料アンチウイルスソフトはマルウェアに対してほとんど効果がないことが明らかにされました。(Android向け無料アンチウイルスソフトは無意味)
位置情報を本社に送信か
2011年(平成23年)4月、セキュリティ企業のF-Secureは、iPhoneが1日に2回、ユーザーの位置情報をAppleに送信していると発表しました(Actually, iPhone sends your location to Apple twice a day)。
また、Androidも位置情報を取得・蓄積し、Googleに送信していることが分かったと、Wall Street Journalが報じています(Apple, Google Collect User Data)。
また、Androidも位置情報を取得・蓄積し、Googleに送信していることが分かったと、Wall Street Journalが報じています(Apple, Google Collect User Data)。
AndroidアプリとiPhone(iOS)アプリ
| チェックポイント | iOSアプリ | Androidアプリ |
|---|---|---|
| 配信ストア | AppStoreでは不審なアプリを配信拒否する。 | AndroidMarketではウイルスチェックは行われていない。 |
| ウイルス対策ソフト | 現時点では存在しない。 | Androidの特性上、システム領域のウイルスや不正を調べることができない。 |
| OSのアップデート | Appleにより随時アップデートが行われている。 | アップデートのタイミングが遅かったり、端末によってはアップデートできないことがある。 |
| その他 | OSのroot権限を奪われる危険性がある。 | - |
参考書籍
|
スマートフォンを買ったらスグにやっておきたい10の安全対策 | ||
| 著者 | X-1 | ||
| 出版社 | 秀和システム | ||
| サイズ | 単行本 |
|
|
| 発売日 | 2012年12月 | ||
| 価格 | 1,320円(税込) | ||
| ISBN | 9784798035932 | ||
| ウィルス感染、個人情報流出、フィッシング詐欺…従来の携帯電話より高機能ゆえに危険度も高いスマートフォンを安心して使うために、いまスグできるセキュリティ対策のすべて。 | |||
|
スマートフォン術 情報漏えいから身を守れ | ||
| 著者 | 田淵義朗 | ||
| 出版社 | 朝日新聞出版 | ||
| サイズ | 新書 |
|
|
| 発売日 | 2011年03月 | ||
| 価格 | 814円(税込) | ||
| ISBN | 9784022733856 | ||
| どこでも「モバイル」、意識の格納庫「クラウド」、社会と人のネットワーク「ソーシャル」-が1つの端末となった、まさに、その入り口となる驚異のマシンである。2011年は、スマートフォンが爆発的に普及する。それに伴なう情報漏えいは、個人・企業にとって大きな危険となる。そんな「頭のよい電話機」をどう使いこなすか、賢くつき合う方法。 | |||
|
スマートフォン 個人情報が危ない! | ||
| 著者 | 御池鮎樹 | ||
| 出版社 | 工学社 | ||
| サイズ | 単行本 |
|
|
| 発売日 | 2013年01月 | ||
| 価格 | 1,760円(税込) | ||
| ISBN | 9784777517381 | ||
| 「Android」端末では、多くのユーザーが「フィッシング詐欺アプリ」に引っかかり、ネットバンクのアカウントが漏洩しました。「安全」と思われてきた「iPhone」も、「アドレス帳」を勝手に読み込むなど、個人情報をねらったアプリが登場しています。実際に起きたスマホの個人情報漏洩事件をもとに、どのようなマルウェアがあり、またどのように対策すればよいのか、具体例を挙げて丁寧に解説します。 | |||
参考サイト
- iPhone・iPadと個人情報:ぱふぅ家のホームページ
- Androidと個人情報:ぱふぅ家のホームページ
- スマートフォンの利用者情報等に関する連絡協議会:SPSC
- 情報を抜き取るスマートフォンアプリに注意!:IPA,2012年9月5日
- 利用者視点を踏まえたICTサービスに係る諸問題に関する研究会提言「スマートフォン プライバシー イニシアティブ -利用者情報の適正な取扱いとリテラシー向上による新時代イノベーション-」(案)に対する意見募集:総務省,2012年6月29日
- Mobile Apps Invading Your Privacy:Veracodeのブログ,2011年4月5日
- Pandora Mediaに連邦大陪審から召喚状--アプリでの情報共有に関する調査で:CNET Japan,2011年4月5日
- あなたのスマートフォンは大丈夫? 考えていますか?:トレンドマイクロ
- 2割のAndroidアプリが個人情報を取得 犯罪に悪用される恐れも:ITmedia
- Androidアプリに不正ソフト、パスワード盗難の恐れ:ITmedia
(この項おわり)
総務省は2012年(平成24年)6月、スマートフォンアプリが順守すべきプライバシー保護の基準などを示した提言「スマートフォン プライバシー イニシアティブ」を公開しました。