Androidとアプリと個人情報

(1/1)
日本国内でも販売台数が伸びている Android スマートフォンですが、「狙われるスマートフォン」で述べたように、登録されている個人情報を狙った攻撃や、ネットワークを介した乗っ取りが急増しています。
また、Androidマーケットで有料アプリ購入者の詳細な個人情報がアプリ提供者に伝わってしまうという不具合が発生しました。

アプリ開発キットの問題

SDK
2019年(令和元年)11月、マーケティング企業oneAudienceが提供しているアプリ開発キット「oneAudience SDK」を悪用することで、ユーザーの電子メールアドレスやユーザー名、最後のツイートなどを収集可能であることが分かった。さらに、Facebookでは、マーケティング会社 Mobiburn の SDK にも問題があることが明らかになった。

SNSアプリを利用するときは、それらの素性を精査した方がよさそうだ。
engadget,2019年11月26日

低価格Androidにトロイの木馬

Androidスマートフォン
2014年(平成26年)12月12日、Dr.Webアンチウイルスソフトウェアの開発元であるDoctor Webによると、1万円前後で買えるような低価格スマートフォンや2万円弱のタブレットで、マルウェアなどをダウンロードするトロイの木馬の一種である「Android.DownLoader.473.origin」がファームウェアに組み込まれているのが発見された。現時点で判明しているのは26機種だが、さらに多くの機種が感染している恐れがあるという。
Dr.Web,2016年12月12日

Androidに許可なく通話発信される脆弱性

2014年(平成26年)7月4日、ドイツのセキュリティ企業Curesecは、Androidに不正なアプリを使ってユーザーの許可なく電話をかけたり通話を妨害したりできてしまう脆弱性があると情報公開しました。バージョン4.1.1~4.4.2に存在するとしています。
一方、Googleは、この脆弱性について2013年(平成25年)末に報告したといい、6月19日にリリースした4.4.4で修正したとしています。
ところが4.4.4は普及しておらず、大多数のAndroidに依然として脆弱性が存在しているとみられます。製造終了したスマートフォンではバージョンアップもないままです。
ITmedia,2014年7月8日)

Samsung Galaxyにバックドアが発見される

オープンソースOS「Replicant」の開発者が、Samsung Galaxyシリーズのアプリケーションプロセッサに組み込まれたプロプライエタリ・プログラムが、ファイルシステムのI/Oオペレーションをリモートで実行可能にするバックドアを搭載していることを発見しました。
このプログラムは、遠隔地からスマートフォンの記憶領域内にあるファイルにアクセスし、ファイルの読み込み・書き込み・削除が可能になるというもので、いくつかの機種では個人情報にアクセスする権利を有しているといいます。

プロプライエタリ・プログラムは非公開かつ変更不可あるため、その挙動を是正することは極めて困難です。

Replicantの開発者は、Galaxyシリーズの所有者はSamsungに説明を求めるべきだと主張しています。

アプリの97%が個人情報にアクセス

米HPが、Forbes誌による世界の有力企業ランキング「Global 2000」に選ばれた601社による2,107件のモバイルアプリを調査したところ、その97%が何らか形で利用者のデバイス内にある個人情報にアクセスしていることが分かりました。
HPの担当者は、アプリの中には個人情報にアクセスする正当な理由を持っているものもあったが、多くはセキュリティ脆弱性を有しており、利用者の個人情報をリスクに曝す可能性を高めていると語っています。

調査では、75%のモバイルアプリは、ユーザーデータに対して適切な暗号化技術を採用していませんでした。SSL暗号化については、正しく利用しているアプリは、わずか18%でした。
japan.internet.com,2013年11月20日)

メール利用で高齢者をだます手口も

2013年(平成25年)5月、米セキュリティ企業F-Secureの報告によると、Androidを狙う攻撃の手口が多様化しているといいます。これまでのようなアプリ経由ではなく、電子メールスパムを通じて配布されているAndroidマルウェアも初めて見つかりました。

Stels などのマルウェアは、米国の国税当局からの通知に見せかけたメールを送りつけ、Androidクライムウェアキットを使って端末から情報を盗んだり、有料ダイヤルに無断で電話したりする機能を持つといいます。
アプリを使わないような高齢者をだます手口として使われるのではないかと懸念されます。
ITmedia,2013年5月16日

不正アプリで1000万件以上の個人情報流出

2012年(平成24年)10月30日、Androidの電話帳のデータを無断で外部に流出させるアプリを配信させたとして、男女5人が逮捕されました。このAndroidアプリは「ぴよ盛り the movie」という名でGoogleの公式アプリストアで配信されていました。
その他、人気ゲームの題名の後に「the Movie」と付けてつくられた不正アプリは50種類以上あり、これまでに9万人がダウンロードし、情報漏洩は1100万件を超える見込みです。

トレンドマイクロの発表によれば、今回の流出事件が発生した2012年(平成24年)4月当時のAndroid不正アプリ数はおよそ11,000。そして、2012年(平成24年)9月時点では175,000もの不正アプリが報告されています。およそこの5ヶ月で15倍にまで数が増えていることがわかります。

ところがその後、捜査が行き詰まりました。2012年(平成24年)11月に容疑者らが釈放され、12月26日には東京地方検察庁が不起訴処分を決めました。
これに呼応するように、2013年(平成25年)に入り、ふたたび不正なAndroidアプリが増加しています。

Androidアプリのリスクをチェックできるサイト「secroid」

2012年(平成24年)10月、セキュリティ企業のネットエージェントは、Androidアプリに内在するリスクを独自にランク付けした結果を参照できるサイト「secroid (セキュロイド) 」を公開しました。利用は無料です。

Google Playのほか、SQUARE ENIX MARKETなどゲームメーカーの独自マーケットも対象に、現時点で約20万種類のアプリについて、ネットエージェントが定義するリスクレベルに応じて「DANGER」「HIGH」「MID」「LOW」「SAFE」の5段階に分類しています。
インストール時に求められる権限(パーミッション)の項目から単純に判断しているのではなく、例えばアプリが送受信するデータの種類に個人情報が含まれるかどうかといった観点などからも評価している点が特徴です。

ウイルス対策ソフトをかたる悪質なAndroidアプリ

シマンテックは2012年(平成24年)9月26日、ウイルス対策ソフトをかたる悪質なAndroidアプリ「安心ウイルススキャン」が確認されたとして注意を呼びかけています(モバイルデバイス上の連絡先を盗む偽ウイルス対策アプリ)。インストールすると、スマートフォンなどに保存してある連絡先(アドレス帳)のデータを盗まれるといいます。

このアプリは、非公式のアプリ配布サイトに置かれており、アプリの配布には迷惑メールが使われています。迷惑メールに記載されているリンクをクリックすると配布サイトに誘導され、該当のアプリがダウンロードされそうになります。
この配布サイトは、公式サイト「Google Play」と似た内容にして、ユーザーをだまそうとします。

シマンテックでは、こういった悪質アプリの被害に遭わないためには、送信者が不明なメールで紹介されているアプリをダウンロードしないことが重要だとしています。

2013年(平成25年)7月24日、「安心ウイルススキャン」でスマートフォンから電話帳データを抜き取り、運営する出会い系サイトへのスパムメールを送信したとして、千葉県警は特定電子メール法違反などの疑いで東京都内のIT関連会社社長の男ら9人を逮捕しました。
抜き取られたデータは約3700万人分に及ぶ可能性があるといいます。

パーミッションを一切要求しないAndroidアプリがデータを外部に送信する可能性

Androidアプリにはネットワーク接続や個人情報データの読み取り、ストレージへの書き込みなどの処理に対するパーミッション設定があり、パーミッション要求の設定されていないアプリでは該当するリソースへのアクセスができないようになっています。
しかし、パーミッション要求を一切しないアプリであっても、状況によって個人データを読み取ってサーバーに送信できる可能性があることが明らかになりました。(パーミッションを一切要求しないAndroidアプリがデータを外部に送信する可能性

たとえば、SDカードにはさまざまなデータが保存されるのにも関わらず、読み取りについてはパーミッション設定が存在しません。そのため、暗号化されていない情報は任意のアプリで読み取れます。
本体メモリにデータを保存する場合も、アプリが適切なアクセス許可を設定していなければ、他のアプリから読み取られる可能性があります。
アプリはURLを指定してWebブラウザーを起動できますが、こちらもパーミッションは要求されません。そのため、インターネットアクセスが許可されていないアプリであっても、URLにパラメーターとして指定することで、サーバーにデータを送信することが可能となっているのです。

有料アプリで個人情報流出

2012年(平成24年)1月、Androidマーケットで有料アプリを購入した際、アプリ提供者に購入者の個人情報が通知される不具合が発覚し、Googleが修正しました。

問題となったのはeコマースやAndroidマーケットでの課金に利用されている決済サービス「Google Checkout」で、販売者側で利用する管理画面に本来は表示されない詳細な住所と電話番号が表示されていたという不具合があったということです。
Google Checkoutは世界中に提供されているサービスで、今回の不具合も日本だけではなく世界が対象となっています。Googleによれば、Google Checkoutのグローバルのアカウント数(ユーザー数)は「数百万件」で、販売者のサイトは「数十万件」ということです。
なお、Googleは利用規約で氏名やメールアドレスなどはアプリ提供者に送られると説明していますが、「Google のモバイル プライバシー ポリシー」において下記のように記されているだけです。いずれにしても、従来の携帯電話アプリと個人情報の扱いが異なる点に注意が必要です。
•Google のサービスやツールを介して商品を購入した場合は、ユーザーの情報を請求と請求に関する問題の処理に使用します。
こうした問題を受け、総務省と経済産業省が調査に乗り出しました。

Androidアプリの約40%に欠陥?

2012年(平成24年)1月、セキュリティ診断を手掛ける米Veracodeが金融機関や医療関連企業の従業員が使う企業向けのAndroidアプリを調査したところ、アプリの40%に欠陥が見つかり、最悪の場合、暗号化されたはずのデータが外部に漏洩するといいます。

問題の欠陥のひとつは、暗号鍵をハードコーディングしているというものです。
これは暗号化するための鍵をプログラムに埋め込む方式ですが、Androidアプリは比較的簡単に解析ができてしまうため、悪意のある者が暗号鍵を取り出すことができてしまいます。その結果、そのアプリを使っている利用者/企業/団体が暗号化していたと考えていたはずのデータが、簡単に取り出せてしまうことになります。

その他にも欠陥が見つかりましたが、いずれも、開発期間やコストを抑えようとする安易な体制や、洗練されていない開発ツールを使った結果生じたものでした。

位置情報などを無断送信

2012年(平成24年)1月、KDDIの研究所がAndroidマーケットで配布されている人気アプリの上位400本を調べたところ、約6%のアプリが端末IDのほかに電話番号や端末の位置情報、メールアドレス、利用アプリ一覧などを無断で外部に送信していたことが分かりました。

アップログとアップTV

ベンチャー企業のミログは、Androidスマートフォン利用者に無断で、端末固有番号やインストール済みのアプリの名称、起動時間などを収集し、ミログに送るというアップログ(AppLog)というプログラムを配布していました。さらに、このプログラムを動画やマンガを配信するアップTV(AppTV)に組み込んで配布していました。
もともとは企業のマーケティング・リサーチ用に開発されたプログラムですが、利用者に無断で情報収集していることがプライバシー保護に反するということで問題になっています。
2011年(平成23年)10月26日、ミログはアップログに関するすべてのサービスを終了すると発表しました。また、これまでに収集したデータは破棄するとしています。

Androidスマートフォンの利用者がどんなアプリケーションを使っているか把握し、本人の性別や年代、好み、端末の利用頻度などを推測する行動ターゲティング分析のためにアップログは開発されました。
アップログは無償配布のSDKという形で配布され、他のアプリケーションに組み込んでもらうことを想定しています。収集する情報は、AndroidID、機種情報、OS情報、インストール済みのアプリケーションと起動しているアプリケーションです。これらの情報を一定間隔で収集し、ミログに自動送信するようになっています。
ミログは、アプログを組み込んだアプリケーションの開発者に対し、情報収集できるようになったスマートフォン1台につき1円の対価を請求するというビジネスモデルになっています。さらに集めた情報をインターネット広告会社に渡して共同で解析し、スマートフォンにどんな広告を配信するかを決めるための材料にしていました。

問題となったのは、アプログが利用者の許可なくこうした情報を送信するプログラムだったことです。
ミログはこの点について、「以前から情報を送信する際は事前にスマートフォン利用者の許諾を求める仕組み(オプトイン)を採用していたが、このオプトインの画面を変更し、送信する情報の詳細とその用途をより明確に説明するようにした」としています。

ミログは第三者委員会を設置して内部調査を進めると同時に、事業の見直しを検討してきましたが、事業環境を総合的に判断した結果、2012年(平成24年)4月2日、役員会ならびに株主総会にて会社の解散と清算を決定しました。(なぜミログは解散に至ったのか、城口代表に聞く

利用上の注意点

IPA(独立行政法人情報処理推進機構)は2011年(平成23年)8月、「スマートフォンを安全に使おう!」と題して対策を発表しています。
理由は後述しますが、私はAndroidスマートフォンの運用にはもっと注意を払うべきだと思います。

IPAの対策と重複する部分もありますが、Androidスマートフォンを利用している方は、以下の点に注意しましょう。
  1. 公式Androidマーケットのアプリだからといって信用してはいけない。
  2. お金を惜しまずに市販セキュリティソフトを導入する。
  3. Linuxのセキュリティ運用について勉強する。
  4. 安価な海外製品を購入したり、Androidの改造に手を出さない。


IPAは、Androidアプリをインストールする前に、情報収集を行うこともポイントだとしています。
ユーザーがアプリに関する情報を投稿できるストアなどでは
  1. レビュー記事に悪い評判は書かれていないか
  2. アプリ開発者が他に公開しているアプリの評判に悪いものがないか
  3. 開発者やアプリ名をインターネットで検索して悪い評判や噂などはないか
を確認することで、悪い評判や噂がある場合はインストールをいったん見送るべきといいます。

『個人情報ダダ漏れです!』の著者である関東学院大学経済学部准教授の岡嶋裕史さんは、「ネットの世界を特別視しないこと」として、「例えば、リアルの世界では道に落ちているものを持ち帰って食べることはしない。ネットの世界も同じで、無料だからといってよくわからないファイルを開いたり、アプリを疑いなく取り込むといった行動は慎むべきだ」とアドバイスしています。
ITpro,2013年10月23日

本当は怖い Android

Androidスマートフォン、携帯電話というよりLinuxパソコンの一種と考えた方がいいでしょう。
実際にAndroidタブレットを使ってみてわかったのですが、セキュリティを保つためにはLinuxの運用に関する知識が要求されます。少なくとも、国内用携帯電話(いわゆるガラケー)のように万人が安心して利用できるレベルにはありません。

LinuxはWindowsに比べてセキュリティが高いと言われることがありますが、運用を考えると、かならすしもそうとは言えません。
Linuxは、Windowsに比べてシステムの自由度が高くなっています。とくに root (ルート)  権限を与えられたユーザーは、何でもできてしまいます。Androidスマートフォンの場合、アドレス帳やメール内容はもちろんのこと、クレジットカード番号を盗み見たり、通話を盗聴することも可能です。
Linuxでは、root権限を利用できるユーザーは一部の管理者だけになるように細心の注意を払って運用されています。Androidスマートフォンを利用するにも同様の注意が必要なのです。

また、いままではLinux利用者がそのものが少なかったり、Windowsに比べてビジネス利用が少なかったために、悪意のあるアタッカーたちも攻撃対象としてきませんでした。ところが、Androidスマートフォンにクレジットカード番号が入っているとなると話は別です。
Androidを狙うマルウェアは急増し、ついに携帯電話OSの雄であるSymbian上で発見されたマルウェアを追い越してしまいました。

root権限を奪うマルウェアは、Android バージョン2.3まで発見されています。技術的には最新のAndroid バージョン3のroot権限を奪うことも可能と見られています。OSを最新版にしたからといって油断はできません。

セキュリティ対策ソフトの状況



2012年(平成24年)3月、セキュリティ製品の性能評価を手掛ける第三者機関のAV-TESTが、Android向けウイルス対策製品の性能を比較した報告書を発表しました。
検出率90%を超す最上位グループに入ったのは、Avast、Dr. Web、F-Secure、Ikarus、Kaspersky、Zoner、Lookoutの7製品でした。一方、全体の約3分の2は検出率が65%に満たず、まだ信頼できる製品にはなっていないと結論付けています。

Androidウイルスの例

出現時期 名称 特徴 配布場所
2010年8月 Fake Player 動画再生アプリに見せかけ、有料のメッセージサービスを勝手に利用させる。 非公式の配布サイト
2010年8月 Tap Snake ゲームアプリに潜伏し、携帯の位置情報を取得して特定のサーバーへ送信する。 Androidマーケット(現在は公開停止)
2010年12月 Gemini 複数のゲームアプリに潜伏し、携帯を乗っ取り、攻撃者が操作できるようにする。 非公式の配布サイト

Android初のボット

2010年(平成22年)12月31日、Androidで動作する初めてのボットが検出されました。感染するとバックグラウンドで動作し、攻撃者が指定したサーバーに5分おきにアクセスして、攻撃者からの命令を待ち受けるというものです。

このボット・ウイルスは、正規サイトで配布されているゲームアプリに混入され、非公式のアプリ配布サイトで配布されています。
被害に遭わないためには、信頼できるサイトからのみアプリをダウンロードすることが第一です。アプリをインストールする際に表示される警告を確認することや、スマートフォンなどの振る舞いに異常がないかどうかチェックすることも大切です。

日本語版アプリにもマルウェア混在

シマンテックによると、2011年(平成23年)2月、日本語版アプリに初めてマルウェアの混在が確認されました。

マルウェアの混在が確認されたのは「いっしょにとれーにんぐ for Android」というアプリの海賊版で、正規版がAndroidマーケットで525円で販売されているのに対して、第三者のアプリ配布サイトでは無料で入手できるといいます。
基本的に正規のアプリと見た目や動作は変わりませんが、バックグラウンドで「Android.Geinimi」というマルウェアが動作しています。
また、海賊版では個人情報や送受信したメッセージ、現在地、ネットワーク通信、ストレージ、電話・通話、システムツールといった、あらゆる項目へのアクセス許可を要求してきます。

公式マーケットでもマルウェアが仕込まれる

2011年(平成23年)3月、トロイの木馬を仕込んだアプリケーションが公式のAndroidマーケットで提供されていることが発見されました。いずれも他者のアプリケーションにトロイの木馬を仕込んだ海賊版でした。

Googleは問題のアプリケーションを削除する措置をとりましたが、ユーザーがこうした不正アプリの被害に遭わないためには、インストールの過程で求められるアクセス許可の内容をすべてチェックすることが望ましいとしています。

2012年(平成24年)1月、マルウェア「Android.Counterclank」を組み込んだアプリが13本、公式のAndroidマーケットで発見されました。最大で500万人のユーザーがダウンロードしたといいます。(Symantecによる報告

公衆無線LANで情報流出の恐れ

2011年(平成23年)5月、ドイツの研究者が、Android搭載端末を公衆無線LANで利用しているとき、Googleのカレンダーアプリケーションや連絡先アプリケーションの情報が暗号化されないまま転送され、他人に情報を傍受されたり、改ざんされたりする恐れがあることを発表しました。Androidを搭載したスマートフォンの99.7%がこの脆弱性の影響を受けるとしています。

対策としては、Android 2.3.4へのアップデート、公衆無線LANに接続する際の自動同期設定を無効にするなどの対策を挙げています。

進化するマルウェア

2011年(平成23年)8月、米CA Technologiesは、GoogleのAndroidを搭載した携帯電話の通話内容を録音してしまうマルウェアが出現したと報じました。

2010年(平成22年)10月、最初は無害だったAndroidアプリケーションが、アップデートによってマルウェアに切り替わってしまうという手口が新たに発見されました。いったんインストールしてしまうと、更新の都度、アクセス許可をチェックしないというユーザー心理を逆手に取ったものです。
問題のアプリケーションは「com.ps.keepaccount」という中国語のもので、正規のAndroidマーケットではなくサードパーティー市場で配布されていました。
最初にダウンロードした時点ではマルウェアの痕跡は見当たらないのですが、インストールするとすぐに「新版」が利用できるとの通知が出ます。この新版を導入すると、「DroidKungFu」というトロイの木馬の亜種に感染する仕組みです。感染すると、位置情報やroot権限も取得されてしまいます。

参考書籍

表紙 個人情報ダダ漏れです!
著者 岡嶋裕史
出版社 光文社
サイズ 新書
発売日 2013年09月18日頃
価格 814円(税込)
ISBN 9784334037628
自分だけは大丈夫…と思ったら大間違い。「個人情報流出あるある」に学ぶ、スマホ時代の自己防衛術。
 
表紙 Androidスマートフォンのセキュリティが鉄壁になる本
著者
出版社 晋遊舎
サイズ ムックその他
発売日 2011年10月
価格 1,257円(税込)
ISBN 9784863913974
 
表紙 スマートフォンの業務利用におけるセキュリティ対策
著者
出版社 晋遊舎
サイズ ムックその他
発売日 2011年10月
価格 1,257円(税込)
ISBN 9784863913974
 

参考サイト

(この項おわり)
header