IPAは、コンピュータウイルスや不正プログラムの状況分析から、「今月の呼びかけ」を発表している。今月は、スマートフォンの紛失・盗難対策用アプリの機能を悪用した事件を取り上げている。この事件では、元交際相手の女性が所有するスマートフォンに、無断で紛失・盗難対策用アプリをインストールし、端末内の情報の覗き見や端末を不正操作した容疑で男が逮捕された。

紛失・盗難対策用アプリとは

現在、普及が進むスマートフォンは、多くの個人情報を保存している。したがって、紛失や盗難といった事態になると、物理的な被害だけではなく、スマートフォン内の情報を抜き取られてしまうといった被害が発生する。紛失ならば、注意力である程度防ぐことも可能である。しかし、盗難といった行為に対しては、注意力だけでは防ぐことはできない。

そこで、紛失・盗難対策用アプリというものが存在する。使い方であるが、あらかじめアカウントを作成し、紛失や盗難にあったら、PCなどから指定されたWebサイトにアクセスして、スマートフォンの現在位置を調べたり、スマートフォンに対して遠隔操作コマンドを送信する。遠隔操作コマンドには、

  • スマートフォンにロックをかける
  • データ消去する
  • アラームを鳴らす
  • メッセージを表示する
  • SIMカード保護
  • スマートフォンのカメラで周囲を撮影する
  • マイクで音を録音する
  • 通話履歴を取得する

などがある。下の3つは、盗難などの場合に、犯人を特定したり、証拠集めをするものである。こういった機能を持つ専用のアプリもある。

図1 紛失・盗難対策用アプリ: Cerberus反盗難

また、セキュリティ対策ソフトなどでも、その機能を持つものがある。図2は、トレンドマイクロのウイルスバスターモバイルで、スマートフォンの位置を専用Webサイト上で確認しているところである。

図2 スマートフォン用セキュリティ対策ソフト:専用Webサイトで位置情報を取得

これらの機能により、万が一、紛失や盗難といった事態に遭遇しても、悪用されたり、個人情報などを抜き取られることを防ぐことができる。図3がそのイメージ図である。

図3 紛失・盗難対策用アプリを正しく使用した場合のイメージ(今月のよびかけより引用)

紛失・盗難対策用アプリを悪用すると

このように、紛失・盗難対策用アプリを正しく利用することで、自分のスマートフォンを守ることができる。しかし、これを悪用するとどうなるか? それが原因で起こったのが今回の事件といえるだろう。

まず、容疑者の男性は、無断で元交際相手の所有するスマートフォンに紛失・盗難対策用アプリをインストールした。紛失・盗難対策用アプリによっては、アイコンを表示しないで、この種のアプリがインストールされていることすら気付かせないような機能もある。この機能を使えば、より発見が困難になる可能性がある。そして、位置情報の取得、個人データの抜き出し、マイクやカメラを使って日常生活の覗き見などが行われたのである。

図4 紛失・盗難対策用アプリが悪用された場合のイメージ(今月のよびかけより引用)

まず、IPAが指摘しているのは、紛失・盗難対策用アプリやセキュリティ対策ソフトなどは正しいアプリであり、公式マーケットからダウンロードできる。不正なアプリであれば、公式マーケットから削除といった処置がとられる可能性もあるが、あくまでも使用方法の問題であるので、削除されることはない。したがって、今後も同様の被害が発生する可能性があるとのことだ。

この事件の問題と対策

IPAでは、この事件の問題点として、以下の3点を指摘している。

  • 本来は自分がスマートフォンにインストールすることで紛失・盗難対策となるアプリが、他人にインストールされたことで、いわゆるスパイアプリとして悪用されることとなった。
  • 他人にスマートフォンを操作させてしまいアプリをインストールさせてしまった。
  • 紛失・盗難対策用アプリを悪用されることによりスマートフォンの持ち主は自分の日常生活を監視されることとなった。

さらに、Android OSやiOSのスマートフォンでは、端末の設定時に登録したGoogleアカウントやApple IDを使い、同じような紛失・盗難対策を行うことができる。つまり、特別なアプリをインストールしなくても、アカウント情報が知られてしまえば、同じような被害が想定されるのである。この点も注意したい。さて、対策であるが、IPAでは、以下の5点を紹介している。

  • スマートフォンを他人に操作させない
  • スマートフォンには画面ロックをかけておく
  • 重要な情報の閲覧時や画面ロック解除の時は周りの目に注意する
  • 他人にアプリをインストールしてもらう際は、何のアプリなのかを事前に確認する
  • スマートフォンに登録するアカウントを適切に管理する

PCなどでも、操作記録ソフトなどを悪用すれば、問題となることがある。改めて、悪意を持った行動に対し、情報機器の弱点が露呈したともいえる。「人を見たら泥棒と思え」ではないが、スマートフォンに関しては、そのくらいの注意も必要なのだろう。