「○○ the Movie」という名のAndroidアプリに注意、裏で個人情報ぶっこ抜き


 Google Playで公開されていた「○○ the Movie」「○○動画まとめ」などの名称のAndroidアプリ16種が、スマートフォン利用者の個人情報などを外部に送信していたことがわかった。すでにこれらのアプリはGoogle Playから削除されているが、少なくとも合計6万6000件以上がすでにダウンロードされた可能性があるとみられる。

現在はGoogle Playから削除されている

 問題のアプリは、「○○」の部分に「うまい棒をつくろう!」「チャリ走」「桃太郎電鉄」「けいおん」などの人気アプリ/コンテンツの名称が冠されていた。それらを入手して調査したネットエージェントによると、各アプリではそれぞれの名称に応じたそれらしい動画がストリーミング再生されるため、見かけ上は人気アプリの使い方を説明したり、人気コンテンツをまとめて紹介する動画アプリといった体裁だという。

 しかしインストール時には、動画を再生するだけのアプリには不要と思われるパーミッションを要求。このうちネットエージェントが挙動を確認したあるアプリでは、スマートフォンに登録されている利用者の名前と電話番号、Android ID、電話帳に登録されている人の名前、電話番号、メールアドレスを取得し、外部サイトに送信していることがわかった。

 実際に挙動までは確認していないアプリも含め、16種のソースコードはすべて同じだったとしており、端末に保存されている個人情報などを抜き取ることを目的に、人気アプリ/コンテンツに便乗する動画アプリを装い、3月半ばごろから複数ばらまかれていたとみられる。

 最近になって“怪しいアプリ”が出回っているとしてインターネット上で話題になったことを受け、ネットエージェントでは16種を入手して解析するに至った。

 同社によると、アプリはすべて13日午前2~3時ごろにはGoogle Playから削除されたという。しかし、削除される前にGoogle Playの各アプリのページに表示されていたインストール数から推計すると、すでに6万6000件から最大で27万件がダウンロードされたとみられる。数字に大きな幅があるのは、Google Playで表示しているインストール数じたいに幅があるためで、それらを16アプリ分、単純に合計した。

 なお、情報の送信先となっていたサイトはJPドメインだったが、13日午後4時30分ごろまでに停止されたのを確認しているという。

公式マーケットで公開されているアプリだからといって安心できない状況

 Androidをターゲットにしたマルウェアや悪意のあるアプリに対する防衛策として、「信頼できないサイトで配布されているアプリをインストールしないこと」などと言われるが、Google Play(旧Android Market)という公式マーケットで配布されているアプリだからといって安心できない現状がある。

 ユーザーは、インストール時にどんな項目のパーミッションが求められるのか注意深く確認して判断する必要があるわけだが、アプリのメインの機能とは一見して関係なく見える情報・機能にアクセスするようなアプリもあり、一般ユーザーにはなかなか判断できないのが実情だ。

 明らかに小さなベンダーや個人のアプリは避ける、インストール数の少ないものは避ける、Google Playに投稿されているレビューに加え、外部のアプリレビューサイトなども参照し、同じ文面のレビューがあちこちに投稿されているものは避ける――といったスタンスも求められるという。

 ネットエージェントでは、Androidアプリをインストールするにあたっては、「自己責任だということを強く認識しておくべき」と強調している。

(永沢 茂)

2012/4/13 21:21