セキュリティ企業各社は2010年8月17日、Androidを搭載した機器に感染する新たなウイルス(悪質なプログラム)を確認したとして注意を呼びかけた。ゲームに見せかけたウイルスをインストールすると、位置情報を第三者に送信されてしまう。
図1 「Tap Snake」の画面例(米トレンドマイクロの情報から引用)。このバックグラウンドで、スパイ用のプログラムが稼働している
図2 Tap Snakeで取得した位置情報を表示する「GPS Spy」の画面例(米シマンテックの情報から引用)。Googleマップ上に表示できる
今回、悪質な挙動が確認されたのは、「Tap Snake」という名称のアプリ(図1)。「スネークゲーム」と呼ばれるゲームの一種だとうたっている。スネークゲームとは、“へび”に見立てた連なった点を操作して、画面中の“えさ”に見立てた点を食べさせる単純なゲーム。Tap Snakeでは、画面をタップすることで、自動的に移動する“へび”の方向を変えて“えさ”を食べさせる。
Tap Snakeには、スネークゲーム以外の機能も組み込まれている。機器の位置情報を取得して、特定のサーバーに送信する機能だ。ゲームを終了しても、この機能はバックグラウンドで動き続け、15分ごとに位置情報を送信する。
この位置情報は、「GPS Spy」というAndroidアプリを使えば取得できる。取得した位置情報は、Googleマップ上に表示可能(図2)。Tap Snakeは無料だが、GPS Spyは4.99ドル。GPS Spyをインストールすると、監視したいAndroid機器にTap Snakeをインストールするよう促される。
ただし、Tap SnakeとGPS Spyを使って特定のユーザーを“監視”するには、Tap Snakeのインストール時に、キーコード(6文字以上の任意の英数字)を入力する必要がある。GPS Spy側でも同じキーコードを登録することで、特定の機器の監視が可能になるのだ。
つまり、監視対象の機器にTap Snakeをインストールさせるだけでは、位置情報を取得できない。上記のような登録作業が必要なので、攻撃者は、監視対象の機器に物理的にアクセスする必要がある。このためフィンランドのエフセキュアや、米シマンテックなどのセキュリティ企業では、Tap Snake/GPS Spy自体の危険性は低いと分析する。
とはいえ、今後はより悪質なアプリが出現する可能性が高いので、アプリをインストールする際には十分注意するよう各社とも呼びかけている。
(日経パソコン 勝村幸博)
[PC Online 2010年8月19日掲載]
ウイルス、Android、ゲーム、セキュリティ、位置情報、シマンテック、GPS
| 日経平均(円) | 9,002.24 | -13.35 | 9日 大引 |
|---|---|---|---|
| NYダウ(ドル) | 12,890.46 | +6.51 | 9日 16:30 |
| 英FTSE100 | 5,895.47 | +19.54 | 9日 16:35 |
| ドル/円 | 77.66 - .68 | +0.44円安 | 10日 7:27 |
| ユーロ/円 | 103.18 - .22 | +0.62円安 | 10日 7:28 |
| 長期金利(%) | 0.985 | ±0.000 | 9日 15:24 |
| NY原油(ドル) | 99.84 | +1.13 | 9日 終値 |
