数百万規模の個人情報流出 アンドロイドに利便性の代償

(3/4ページ)
2012/4/17 15:34
保存
共有
印刷
その他

1月に出現したワンクリック詐欺アプリの権限許可画面。ここでインストールを押すと、アプリはスマホ内の個人情報にアクセスできるようになる=提供IPA

1月に出現したワンクリック詐欺アプリの権限許可画面。ここでインストールを押すと、アプリはスマホ内の個人情報にアクセスできるようになる=提供IPA

事実、1月にはアンドロイドスマホをターゲットとしたワンクリック詐欺アプリが国内で出現した。同アプリでは、個人情報を把握されたユーザーにSMS(ショート・メッセージング・サービス)で督促が届く事例も確認されている。IPAが昨年12月に実施した調査では「スマホ(アンドロイド)でインストール前にアクセス許可を確認する」と答えたユーザーは50.4%。半数のユーザーがそのまま無防備な意識のままインストールしている計算になる。

「携帯電話とパソコンの両方の機能を備えるスマホには、従来以上のリスクがある」とIPA技術本部の加賀谷伸一郎調査役は警告を発する。ユーザーが肌身離さず持ち歩き、全地球測位システム(GPS)などのセンサーを搭載したスマホには電話番号やメールアドレスなどの連絡先にとどまらず、個人の日常的な行動そのもののデータが蓄積されているからだ。

ワンクリック詐欺アプリで取得された情報で、督促がSMSで届いた=提供IPA

ワンクリック詐欺アプリで取得された情報で、督促がSMSで届いた=提供IPA

システムの構造はパソコンよりも簡単なため、悪意を持った開発者にはどの場所に重要な情報が記憶されているかを見つけやすい。しかも常に電源オンでネットに接続でき、自律的に通信するため、大事な情報が知らない間にこっそりどこかに送られていたとしても気付きづらい。「パソコンで無料ソフトをダウンロードする場合、アプリの評判を調べたりダウンロードサイトの信頼性を確認するなど細心の注意を払っていたはず。スマホにはそれ以上の注意が必要なのだが、ユーザーの意識はまだ低いようだ」(加賀谷氏)

■「監視員付きプール」が「サメの泳ぐ海」に

こんな例えもある。「これまでは監視員付きのプールだったが、今はサメも泳いでいる海のようなもの」と野村総合研究所の北俊一上席コンサルタントは従来型携帯電話(フィーチャーフォン)と異なり、スマホが直面しているリスクをこう表現する。

従来型の携帯電話では通信会社がOSを定めアプリの安全性をチェックし、危険があるものは流通させないようコントロールをしてきた。スマホでは、グーグルや米アップル、米マイクロソフトなどOS開発会社が決めた仕様で端末やアプリを作る。主導権は通信会社からOS、端末、アプリの会社に移っている。

では危険なアプリをインストールしないためにはどうすれば良いのだろうか。個人が最大限すべき対策は「信頼性が高いマーケットからのアプリだけを利用する。評価や評判を注意深くチェックすることくらいしかない」(セキュリティーの専門家)とされる。

今回はOS提供元であるグーグルが危険性のあるアプリを配信していた。45万本以上のアプリが並ぶグーグルの公式サイト「Google Play」は、「(危険性の有無を)機械的に検証しているようだが、今回の件でもわかるように、アプリの振る舞いまではチェックしていない」(杉浦社長)。

これまでもグーグルは何回か、個人情報を流出させる可能性があるアプリをマーケットで配布して、指摘を受け削除してきた。この状況が改善されない限り、アプリの信頼性チェックを含めたリスク管理はユーザー自身に委ねられていることになる。

  • 前へ
  • 1
  • 2
  • 3
  • 4
  • 次へ
保存
共有
印刷
その他

電子版トップ



[PR]