IPA(情報処理推進機構)は1日、3月の呼びかけとして「公式マーケット上の不正なアプリに注意!」を公開した。Android端末向け公式マーケット「Google Play」から50万回以上もダウンロードされ好評価を受けていたアプリが、じつはスマホ内の位置情報やメールアドレスなどを外部に送信してしまう不正アプリだったという。IPAは、解析結果を示し、被害にあわないための対策を解説している。
IPAが入手した不正アプリ「ポルノセクシーなモデルの壁紙」は、Google Playで無料公開されていたが、現在は削除されている。Google Playでの評価は5.0満点中4.4、レビュー数は7830件、ダウンロード数は50万回を超えていた。利用者は個人的嗜好をくすぐるアイコンに目を留め、比較的良い評価や好意的レビューを見て安心し、インストールしてしまったのではないかとIPAは見ている。
■不正アプリの動作~壁紙表示の裏で端末情報を外部送信
アプリのインストール前に、「このアプリケーションに許可する権限」が表示される。このアプリはWallpaper(壁紙)をうたっているにもかかわらず、それとは無関係な権限(端末情報の読み取りなど)の許可を求めてくる。インストール/実行すると、たしかに壁紙が表示されるが、その裏で、端末に含まれる情報を外部サーバーに送信する。メールアドレス、端末識別番号、位置情報、アプリ名、電気通信事業者識別コードなどの情報が、「POSTメソッド」という方式で送信されるという。
このアプリで流出するメールアドレスは、Android OSのスマホを初期設定する際に必要となるGoogleアカウント用のメールアドレスだ。流出によって大量のスパムメールが送られてくることが予想されるが、Googleアカウントに紐づいたメールアドレスを変更することはユーザーにとって容易なことではないとIPAは被害の大きさを警告する。
■被害にあわないための対策
IPAは、Android端末の公式マーケットからアプリをインストールすれば安全とは必ずしも言えないのが現況だとして、不正アプリの被害にあわないための対策を提案している。
(1) インストール前の「アクセス許可」に注意する
IPAが今回解析した不正アプリもそうだが、Android端末を狙う不正アプリは、アプリの種類から考えると不自然なアクセス許可を求めるものがある。Android端末にアプリをインストールする際に、不自然なアクセス許可や疑問に思うアクセス許可を求められた場合にはインストールを中止しよう。
(2) 信頼できる公式マーケットからインストールする
IPAは、各携帯電話会社が運営するマーケットの利用を勧めている。auの「auスマートパス」、docomoの「dマーケット」、EMOBILEの「EMOBILEオススメ!アプリ」、Softbankの「Yahoo! マーケット」など。これらのマーケットでは、運営者が独自にアプリのチェックを実施しているという。ただし、なかには有料サービスもあり、サービスを解約するとインストールしたアプリが自動的にアンインストールされてしまうものもあるので、納得の上で利用したい。
(3) セキュリティソフトを導入する
スマホにセキュリティソフトを入れ、最新の状態に保っておけば、不正アプリのインストール時に注意を促してくれる。「アクセス許可」の内容をチェックしてくれるものもある。
今回のようなアプリを一度でも起動させると、不正アプリによって情報が窃取され、それらの情報は取り戻すことができない。くれぐれもアプリを安易にインストールしないよう、IPAは重ねて注意を促している。
(2013/03/05 ネットセキュリティニュース)
【関連URL:IPA】
・2013年3月の呼びかけ「公式マーケット上の不正なアプリに注意!」
http://www.ipa.go.jp/security/txt/2013/03outline.html
・大丈夫?あなたのスマートフォン-安心・安全のためのセキュリティ-(IPA Channel :YouTube)
http://www.youtube.com/watch?v=AhiUC7X3VSg
・スマホで見る連載マンガ「レイとランのスマホ事情」
http://www.ipa.go.jp/security/keihatsu/love_smartphone_life/comics/