IPAは、コンピュータウィルスや不正プログラムの状況分析から、「今月の呼びかけ」を発表している。今月は改めて、スマートフォンの不正アプリに関しての注意喚起を行っている。

合計して7万回以上がダウンロードされたと推定された不正アプリ

急速に普及が進むスマートフォンであるが、その多くでOSにはAndroidが使われている。このAndroidを対象とした不正アプリが多数報告されている。IPAによると2012年4月には、公式マーケットにおいて、不審な動作を行う不正アプリが多数発見されたとのことである。しかも、そのダウンロード数は合計すると、約7万回以上と推察される。これらの不正アプリでは、図1のような情報流出が行われる。

図1 不正アプリによる情報流出(IPAの今月の呼びかけより)

スマートフォンに保存されている各種個人情報(端末情報、電話帳、位置情報など)が、ユーザーに無断で、攻撃者に送信されてしまうのである。なぜ、7万回以上もダウンロードされたのか?IPAでは、その手口や特徴について分析しているので、それを紹介したい。

だましのテクニックと特徴

まず、発見された不正アプリであるが、

  1. ほかのスマートフォンOSで人気のアプリ
  2. 有名なアプリ名、アイコンが使われている
  3. 興味を持たせるキーワードが含まれている

のような、ユーザーの興味を抱かせるようなだましのテクニックが使われている。さらに、インストールするとマーケットで説明されている名称と異なった名前で表示されるのも特徴である。実際に、動画表示系の不正アプリの事例を紹介する。

有名なアプリ、ほかのスマートフォンOSで人気のアプリ名を含む

アプリ配布場所における名称 インストール後の名称
ウォーリーを探せthe Movie ユーチューブ動画
うまい棒をつくろう!the Movie youtube動画まとめ
ギャングハウンドthe Movie グラビア動画
スヌーピーストリートthe Movie 笑える動画
チャリ走-the Movie ようつべ動画まとめ
ぴよ盛り the Movie 面白動画まとめ
メガ盛ポテトthe Movie 芸能動画
空手チョップ!The Movie ニコニコ動画まとめ
大盛モモ太郎the Movie youtube動画
桃太郎電鉄the Movie ようつべ動画
魔界村騎士列伝THE MOVIE 暇つぶし動画
連打の達人the Movie ユーチューブ動画まとめ

個人的嗜好をくすぐる文字列を含む

アプリ配布場所における名称 インストール後の名称
FC2動画まとめ the Movie 怖い動画
けいおん-K-ON!動画 アニメ動画
スク水動画まとめ 美人動画

実用性を感じさせる文字列を含む

アプリ配布場所における名称 インストール後の名称
3D視力回復THE MOVIE 泣ける動画

これらの不正アプリは、Android OS用の公式マーケットであるGoogle Playに登録されていた(現在では、削除されている)。実際にこれらの不正アプリでは、動画の再生を行う前に、ユーザーに無断で端末情報や電話帳を外部のサーバーに送信していた。まず、ここで注意したいのは、公式マーケットといえども安全とはいえないことである。さらに、非公式なマーケットでは、不正アプリが今でも登録されている可能性がある。十分に注意してほしい。

インストールの際の権限許可

Anroid OS用のアプリの多くは、インストールの際に権限許可を求める。実際に、上述した不正アプリでは、図2のような権限許可を求める。

図2 インストールの際の権限許可、右はGoogle Play、左はGoogle Play以外の一例(IPAの今月の呼びかけより)

ここでは、

  • ネットワーク通信:アプリが外部のサーバーと自由に通信できる権限
  • 個人情報:アプリが電話帳など連絡先データを読み取ることができる権限
  • 電話発信:アプリが端末に付与されている電話番号や、端末識別番号、SIM情報などを読み取ることができる権限
  • .

が求められている。不正アプリは、これを権限を悪用して、図3のような活動を行う。

図3 不正アプリによる情報流出の流れ(IPAの今月の呼びかけより)

実際に動画の再生に個人情報は必要ないのが一般的である。インストールしようとするアプリの内容を確認し、本当に必要な権限なのか確認することが重要である。IPAでは、このようなアプリをインストールしてしまった場合には、再度、権限などを確認し、アンインストールする手順も紹介している。

スマートフォンを安全に使うための六箇条

対策として、IPAが発表しているスマートフォンを安全に使うための六箇条を紹介しよう。

  1. スマートフォンをアップデートする
  2. スマートフォンにおける改造行為を行わない
  3. 信頼できる場所からアプリをインストールする
  4. Android端末では、アプリをインストールする前に、権限許可を確認する
  5. セキュリティ対策ソフトを導入する
  6. スマートフォンを小さなPCと考え、PCと同様に管理する

IPAでは、実際にスマートフォンを使い、六箇条を実践するための手順を紹介しているので、ぜひ参考にしてほしい。また、一歩踏み込んだおすすめの対策として、アプリの情報収集をあげている。実際に多くのマーケットでは、アプリの紹介とともに、「★による評価」や「レビュー」を掲載していることが多い。まずは、このレビューで、悪い評価がないかを確認する。もし、悪い評判がある場合には、インストールは避けるべきである。さらに、

  • 同じアプリ開発者がほかに公開しているアプリの評判で、悪いものがないか
  • 開発者やアプリ名を検索して、悪い評判や噂などはないか

といったことも判断の重要な要素になるだろう。