Carrier IQの不安広がる、国内スマホの状況と専門家の見解

　スマートフォンの内部に実装されたソフトウェアが、ユーザーの許可なしにプライバシー情報を記録送信している――米Carrier IQのソフトウェアに端を発するスマートフォンへの不安がユーザーに広がりつつあるようだ。

　米セキュリティ研究者がYouTube上に公開した動画によって、Carrier IQが提供するスマートフォン向けのソフトウェアに注目が集まっている。この研究者によれば、スマートフォンに実装されている場合がある「Carrier IQ」なるソフトウェアが、スマートフォンで起こる全ての動作を記録し、携帯電話会社や端末メーカーに送信されているという。

　記録・送信される情報は、電話やSMSの送受信や位置情報、検索URL、カメラ、利用したアプリ、押されたキーの種類などで、事実関係は不明だが、Android、iPhoneのいずれにも影響があるとされている。iPhoneについては機能を無効化できるとの情報もあるが、ソフトウェア自体は電話番号や位置情報などにアクセスできるとされている。

　ネットを中心にユーザーの不安が広がりつつある中で、米Carrier IQは12月1日、反論のコメントを発表した。この声明によれば、SMSのメッセージやメール、写真、音楽や動画といったコンテンツを記録したり、送信することはないという。また、アプリのバッテリー消費は確認するが画面を保存することはなく、プライバシーには抵触しないとの見解も示された。

■国内スマートフォンの状況

　それでは国内の状況はどうなのか？　国内のスマートフォンは基本的に、メーカーが開発した端末を携帯電話事業者が買い上げ、ユーザーに提供している。メーカーは携帯電話会社の求める仕様や要望を満たし、かつメーカー独自の工夫などを盛り込んで納入される。国内携帯電話事業者各社は、キャリア側がCarrier IQを実装するよう求めたことはないとしている。

　NTTドコモは、調査の結果、Carrier IQは全てのスマートフォンで搭載されていないとしている。Carrier IQ以外に、端末プリセットの形でライフログ系ソフトが搭載されている可能性については、現在調査中としている。

　KDDIでは調査の結果、auの全てのスマートフォンでCarrier IQの搭載はないとしている。ただし、シャープ製のスマートフォンには、「ライフログサービス」と呼ばれるソフトウェアが搭載されており、通話時間やメッセージのタイトル、SNS（Twitter、mixi）などでのコミュニケーション履歴を収集しているとのこと。

　これら収集したデータは、たとえば端末内の電話帳を表示させたときに、メッセージのやりとりがあったことを表示させたり、頻繁にコミュニケーションするユーザーを上位に表示させたりといった、端末内部のインタラクションに使われ、外部への送信はない。また、故障修理などの際にこのデータを使うといったこともないという。

　ただ、端末内部のこうしたデータを悪意あるアプリが収集し、外部サーバーに送信する可能性も捨てきれない。KDDIはこの点について、ライフログサービスで収集したデータはシャープの「TapFlow UI」と電話帳からしか参照できない構造をとっており、セキュリティは確保されているとの認識を示している。

　ソフトバンクモバイルでは、過去のモデルも含めて同社が販売するスマートフォンにCarrier IQは搭載されていないとしている。iPhoneについても同様だ。

　イー・モバイル（イー・アクセス）では、「携帯電話会社側がメーカーにCarrier IQを搭載するよう要求したことはなく、搭載されていないと認識している」と、コメントしている。同社に端末を供給するメーカーでは、HTCが米国向けモデルのみ搭載している可能性を指摘したのみで、ソニー・エリクソン、Huaweiらは搭載していないとしている。

■セキュリティベンダーの見解

　スマートフォンは、さまざまなサービスや機能がネットワークに接続され、ライフログ系のアプリはユーザーの許諾を得る形でサービスが提供されている。Carrier IQに対するユーザーの不安は、利用者に許諾を得ることなく無断で情報が収集され、もしかしてそれが自分の個人情報かもしれない、というところにあるのだろう。個人情報にあたるとすれば、ユーザーはそれを自分で把握した上で判断したいと思うのは当然だ。

　では、Carrier IQについてセキュリティベンダーはどのような考えを持っているのか？

　シマンテックの分析担当者は、Carrier IQについて現在も調査中であると前置きした上で、「まず、マルウェアではない。スパイウェアに該当するかといえば、今の時点では“スパイウェアではない”という方向でまとまりそうだ」と話す。その理由については、そもそもCarrier IQは、携帯電話会社が端末メーカーに意図的に搭載するよう依頼した上で実装されるソフトであり、悪用の意図はなく目的を持った形で搭載されていると説明、担当者は「無害」と語った。

　別のアプリに偽装して情報を収集しているのであれば問答無用で該当するのだろうが、そういったソフトウェアではない。通常、ライフログ系のアプリはアプリが取得する情報をユーザーが許可した上で利用する。今回注目が集まったCarrier IQは、端末にプリセットされたものであり、担当者は「シマンテックのモバイル向けセキュリティ製品で対策がとれるものではない」と話す。自由にアプリをダウンロードできる階層にCarrier IQはなく、削除するならば“Rootを取る”などと表現される管理者権限で端末へアクセスできなければならない。

　Carrier IQについて担当者は、ソフトとしては深刻なものではないとの立場をとっている。問題があるとすれば、購入したユーザーにソフトの存在を知らせていないことがセキュリティリスクかもしれない。シマンテックでは今後、Carrier IQの分析の結果を公開する方針という。