iOS で不正プログラムを確認か

先週、Apple の公式アプリストア「App Store」にて「iOS 初の不正プログラムが確認された」というニュースが大々的に報じられました。しかし、このニュースについて慎重に考えるべき点が1つあるようです。今回、この事例について振り返ってみましょう。

今回問題となったアプリは、” Find & Call”という名のアプリ。トレンドマイクロの製品では、このアプリをAndroid OS を搭載した端末(以下、Android端末)用に「ANDROIDOS_INFOLKFIDCAL.A」として、iOS端末用に「IOS_INFOLKCONTACTS.A」としてそれぞれ検出対応しています。そして、このアプリは、問題となる1つの特徴を備えていました。それは、明確にユーザに許可を求めることなく端末の連絡先情報をリモートサーバに送信する機能です。つまり、この機能は、明らかにプライバシーを侵害する機能であり、アプリは、このような動作を備えるべきではありません。なお、本事例において、解析の結果、このアプリをインストールした場合、連絡先にスパム化した「SMS のメッセージ(以下、テキストメッセージ)」が送信される場合があります。これは、不正プログラム自体によるものではなく、攻撃者の用意したリモートサーバから送信されたものと考えられます。今回、このアプリが端末の連絡先をリモートサーバに送信し、送信された連絡先情報がスパムメール送信者により悪用されていたため、トレンドマイクロでは、このアプリを検出対応しました。

しかし正規のアプリも、連絡先情報を外部に送信するような動作を備えていたという問題があります。「Path」というソーシャル・ネットワーキング・サービス(SNS)向けのアプリが、ユーザの連絡先情報を自らのサーバへアップロードしていたことが今年既に確認されています。「Path」は、ユーザのプライバシーを公然と漏えいすることから、大きく非難されました。

こうした状況に対して、Apple では、開発者向けに公開した iOS 6 のベータ版ソフトウェアでは、アプリがユーザの連絡先情報やカレンダー、リマインダー、写真にアクセス/送信する場合、事前にユーザの同意を確認することを必須としています。

多くの利用者は、アクセス許可表示に対して盲目的に許可しています。これにより、アプリは自身の情報をサーバへ送信可能となります。このように攻撃者は技術的な説明文で利用者の思考を遮断させ、アプリによるカレンダー情報をサーバへ送信するような不審な振る舞いすら許可させることを望んでいます。残念なことに、こうした説明文を盾にして不審な振る舞いを「正当化」するアプリは多数報告されています。そして事実、”Find & Call” も、アクセス許可項目の表示を通じて、ユーザの連絡先リストへのアクセスを示していました。

図1:
図1:”Find & Call” がアクセス許可を要求する項目(Android端末の場合)

ユーザは、「iOS 初の不正プログラム」という誇張された報道に惑わされるのではなく、問題のアプリが一体どのような挙動をしているのかを一考しなければなりません。つまり、この問題の機能によって、アプリ、そしてこのアプリの背後に存在する人物に、ユーザの連絡先にアクセスする機会を与えてしまっているのです。また、自身でインストールしているアプリのうち、いくつのアプリが同じような許可を求めてくるかを考えてください。通常新しく友人や知人を探したり、彼らと何かを共有したり、といった目的を謳っています。本事例は、ユーザがどのような相手に、どのような頻度で情報を譲渡しているかということに関する警鐘の役割を果たしていると言えます。

しかし、Apple が iOS 6 のベータ版ソフトウェア開発時に、連絡先情報など個人情報の取り扱いについては事前にユーザの許可を必須とした対応は、ユーザにとって自身の個人情報管理に役立つツールを提供したことを意味しています。この点については、大いに評価されるべきでしょう。他社 OS を搭載する携帯端末も、これにならい、すべてのユーザが自身のプライバシーを保護できる手段を提供すべきではないでしょうか。

参考記事:

  • Malware for iOS? Not Really
     by Warren Tsai (Product Manager)
  •  翻訳・編集:宮越 ちひろ(Core Technology Marketing, TrendLabs)