誰でも厳密な審査なしでアプリの登録が可能な反面、マルウェアやスパイウェアの存在など、悪意のある第三者による攻撃の前線基地となる危険性が指摘される「Android Market」。あるセキュリティ企業の最新レポートによれば、アプリ全体の2割に個人情報などに直接アクセスする仕組みが施されており、その一部にはユーザーの許可なしに勝手に情報を送信するものもあるという。

以前にAndroid Market上に大量のフィッシングアプリが登録され、大騒ぎとなった事件があったことを覚えているだろうか? 昨年(2009年)末、ある金融機関からの報告がきっかけで、同マーケット上に登録されたアプリにフィッシングの疑いがかけられ、「09Droid」名義で登録されていた何十もの銀行口座アクセスアプリが一斉に削除された(関連記事)。実際のところ、これらアプリは事前にアプリに登録したユーザーIDとパスワードを元に銀行各社のWebサイトへの接続をバイパスしているだけで、本当に秘密裏での第三者へのユーザー情報送信やその他のフィッシングといわれるような挙動を行っていたかは不明だとされている。だが一連の騒動は、Android Marketが潜在的に抱える危険性を如実に示すこととなった。

とはいえ、Android Marketに登録されている膨大なアプリすべてを精査するのは現実的ではなく、ましてやGoogle自体が基本的に審査ゼロでのアプリ登録を許している以上、安全性を担保するのは容易ではない。Androidなどスマートフォン向けのアンチウイルス・ソリューションを提供するアプリも存在する(関連記事)が、今日PCで一般的となっているシグネチャ照合タイプのソリューションをAndoridのような非力な携帯デバイスに持ち込むのは非常に荷が重く、今後何千、何万という単位で増えていくとみられるマルウェアに対抗していくには、何か別の手段を検討していかなければいけないだろう。

モバイルデバイス向けのセキュリティ・ソリューションを開発する米SMobile Systemsは6月21日(現地時間)、「Threat Analysis of the Android Market」(PDFファイル)という調査レポートを発表した。前述のようにAndroidデバイスでのシグネチャ検出は難しく、そうした明らかにマルウェアの挙動をとるアプリの絶対数が少ないため、SMobileでは位置情報取得や端末外への情報送信など、ユーザーやシステムの許可を必要とするサービスを利用する仕組みに注目。これらサービスを利用するアプリの分類作業から、マルウェアの検出を行う方法を立案した。

いわゆるスパイウェアと呼ばれる情報収集を目的としたアプリでは、これら許可を必要とするサービスを複数組み合わせることでスパイ活動を可能としており、実際にAndroid Marketを調べていくと、このスパイウェアが使っているサービスの組み合わせに非常に類似したアプリがいくつか存在するという。とはいえ、現状でAndroid MarketのリポジトリにPCから直接アクセスする手段はなく、肝心のAndroid MarketアプリはオープンソースのAndroidの中で数少ないクローズドソースの領域であり、アプリを直接精査する仕組みの構築は難しい。そこでSMobileでは、自らアプリのレポジトリを構築しているような一部Androidコミュニティの力を借りて情報収集を開始、今回のレポート発表に至ったという。

今回SMobileが集めたのは、Android Market全体の約68%にあたる4万8,694アプリのメタデータで、これらの許可が必要なサービスの利用状況を分類した。それによれば、アプリ全体の20%が、悪意のある行為に必要となる個人情報や取り扱いに注意を要する情報へのアクセスを要求していたという。また5%のアプリが、ユーザーからの許可なしで特定の番号を呼び出す仕組みを備えていたという。これらはあくまで「そういう行為が可能」という状態になっているだけで、実際にマルウェアかどうかまでは判別できないが、今回調査されたもののうち、29のアプリについてはSMobile自身がスパイウェアと判定しているものと同種の、許可が必要なサービスの組み合わせをそのまま利用していたという。また8つのアプリは自身を隠そうという挙動を見せ、383のアプリについては他のサービスやアプリからのユーザーID/パスワード取得が可能な仕組みを持っていたようだ。

SMobileのソリューションは「挙動ベース」と呼ばれる仕組みで危険性を判定するもののため、そのアプリ自体が実際にマルウェアかどうかを完全に判別しているわけではない。とはいえ、Android Marketには潜在的にこうした能力を備えたアプリが多数存在していることが示されており、脅威はすぐ目の前まで迫っていると考えられる。