情報を流出する不正スマホアプリの実態とは？　～国内スマホアプリの実態：第1弾～

スマートフォン（以下、スマホ）、いわゆるモバイル向けアプリには、さまざまな種類があり、中には無料または格安で活用できるものも多く存在します。しかしながら、すべてのアプリが利用者の期待する動作を実現してくれるわけではありません。アプリの性質を正しく理解し、安全で快適に利用するためには、そのリスクに対しても理解が必要です。本ブログでは、全3回に分け、日本国内におけるモバイルアプリの実状と具体的な評価方法を紹介します。

第1弾となる今回は、スマホ利用における大きな脅威である不正アプリによる情報の抜き取りに関し、昨今報道でも話題にのぼっている「スマホ情報流出アプリ」の実態を交えて報告します。

■ユーザの望まない動作をする「エゴアプリ」の存在
トレンドマイクロでは、利用者が潜在的に望まない挙動をするアプリを「利己的な＝エゴな」アプリであるとして、「エゴアプリ」と定義しています。エゴアプリは、以下のような特徴があります。

プライバシー情報をユーザが認知せずに勝手に利用するアプリ

ユーザの許諾を得ずに広告を強制表示するようなアプリ

端末のシステムリソースを過剰に消費するようなアプリ

エゴアプリの利用は、ユーザにとって予想外の不利益をもたらす可能性があります。

エゴアプリの中で悪質なものが、不正アプリ、すなわち「不正プログラム」、「ウイルス」と呼ばれるものです。不正アプリは、アプリの見えないところにトリックをしかけるため、ユーザの認知や承認なしに損失を与えることがあります。現在、スマホをめぐる脅威の中では、不正アプリによる、内から外への情報流出のリスクや、次回ご紹介する広告配信を巡る悪質ともいえる動作に注目が集まっています。

[1]

■プライバシー情報を勝手に利用するアプリ
2012年10月30日、警察機関は相次いで「スマホ情報流出アプリ」にかかる不正指令電磁的記録供用事件の被疑者を逮捕したと発表しています。警視庁サイバー犯罪対策課は「ANDROIDOS_DOUGALEK」ファミリ（通称「the movieウイルス」）と呼ばれる事件にからみ、アプリを作成したIT関連会社経営者の男ら 5人を逮捕したと発表しています。また、京都府警サイバー犯罪対策課と伏見署は「ANDROIDOS_CONTACTS」ファミリ（通称「電池長持ち」「電波改善」「スマソーラー」「Power Charge」「Solar Charge」など）と呼ばれる事件にからみ、アプリを作成した会社役員を逮捕したと発表しています。

2つの事件は、いずれも国内のスマホユーザを標的に拡散を狙った脅威でした。検挙により、攻撃者に対する解析が進み、新たな攻撃発生の抑止力となっていくことを期待します。そこで、今回はこの 2つの事件における不正アプリの「利己的な＝エゴな」点に注目したいと思います。

「ANDROIDOS_DOUGALEK」「ANDROIDOS_CONTACTS」いずれの不正アプリも、利用者は「動画再生」や「バッテリー長持ち」、「太陽光発電」といったアプリの名前や説明されている提供機能の情報を前提に、それらの動作を期待して　インストールを行っています。しかし、これらの不正アプリは、期待した機能とは別に、ときには期待した機能すら提供せずに、利用者の期待を裏切る形で利己的に情報流出を行っていました。

攻撃者が情報流出対象として狙いをつけたものは「電話帳」でした。不正アプリが感染した端末本体の電話番号のみならず、電話帳に記録していた名前、電話番号、メールアドレスを外部のサーバに送信していました。このため、感染した本人のみならず、電話帳に登録された知人の情報が攻撃者のもとへ流出することになります。

[2]

図1：「ANDROIDOS_CONTACTS」が電話帳の内容を外部サーバへ送信する際の通信

こうした被害は日本国内に限られたものではありません。今月26日に、韓国インターネット振興院（KISA：Korea Information Security Agency、※註）は、偽スパム対策アプリによりユーザの情報を外部のサーバに送信する被害について注意を呼びかけています ^[3]（リンク先は、韓国語）。

従来型の携帯電話におけるセキュリティ対策として多くの人が意識していたのは、紛失・盗難、迷惑メールといった点のみではないでしょうか。小さなパソコンといえるスマホでは、携帯電話製造会社や通信事業者が提供していないサードパーティのアプリを使うことが可能となりました。アプリの流通経路が拡大したことは、攻撃者の侵入経路の拡大にも繋がります。

携帯電話を取り巻く環境の変化が、検討すべきセキュリティ対策の変化につながっていることを認識する必要があります。そして、セキュリティ対策を怠ることは、自身が被害者となるだけではなく、意図せぬ形で加害者となる可能性があることも理解をしておく必要があります。

トレンドマイクロでは、「ウイルスバスター モバイル for Android ^[4]」、「Trend Micro Mobile Security ^[5]」において、スマホに対する新たな脅威に対抗すべくこれらの不正アプリ対策の機能を搭載しています。

[6]

図2：「不正アプリ対策」による「ANDROIDOS_DOUGALEK」「ANDROIDOS_CONTACTS」の検出画面

なお、今回の不正アプリの問題に限らず、本来のアプリの動作に必要な情報であっても、ユーザへの告知が不十分であったり、ユーザのセキュリティに関するリテラシが低いといった理由で、ユーザの望まぬプライバシー情報の流出が発生しているとの報告があります。

このような不正アプリに限らない「エゴアプリ」によるプライバシー情報の外部漏えいのリスクの実状を次回、「「無料」に潜むエゴアプリの脅威　～国内スマホアプリの実態：第2弾～」と題して報告します。

※註：韓国インターネット振興院＝韓国インターネット振興院とは、韓国のIT政策を統括する情報通信省に設置されている情報セキュリティ専門の機関。

関連記事：

セキュリティブログ：
　・モバイル端末用アドウェアに関する問題の増加について
　　/archives/6050 ^[7]
　・アドレス情報を効果的に盗み取るスマホ向け脅威「ANDROIDOS_CONTACTS」ファミリを確認
　　/archives/5931 ^[8]
　・アドウェアおよび「PLANKTON」ファミリ、アプリストアで
　　/archives/5887 ^[9]
　・Android端末を狙う不正プログラムの2012年上半期トップ10－偽アプリ・アドウェア・情報収集型に要注意
　　/archives/5831 ^[10]
　・Android端末を狙う不正プログラム、facebook上の愛犬家コミュニティで拡散を狙う
　　/archives/5730 ^[11]
　・大型連休中もセキュリティ対策を忘れずに
　　/archives/5139 ^[12]