eye

ネットエージェント杉浦氏に緊急取材!Baiduサーバとの通信が噂のアプリ『ESファイルエクスプローラー』

  • このエントリーをはてなブックマークに追加

by [2014年8月13日]

ネットエージェント株式会社 代表取締役社長 杉浦 隆幸氏

皆さんはファイルマネージャーにどのアプリを使っているだろうか?
Androidの方は、『ESファイルエクスプローラー』というアプリを使っている人も多いだろうと思う。

Google Playでも疑惑の声が上がっている。

しかし、そのESファイルエクスプローラーに関して「個人情報を不正にBaiduサーバに送信しているのではないか?」という疑惑が最近噴出している。

そこでAppreviewは真実を確かめるべく、過去にP2Pのファイル共有ソフト『Winny』の暗号解読に成功したことなどで知られるセキュリティ・暗号解読の第一人者である杉浦隆幸氏にインタビューをお願いした。
杉浦氏は現在、Androidアプリの潜在リスクをチェックするsecroidというサービスの運営をしているネットエージェント株式会社の代表取締役である。

Baiduを利用した際には、端末IDなどの個人情報も一緒に送信されている。

───現在、『ESファイルエクスプローラー』というファイルマネージアプリが「Baiduサーバに個人情報を送信しているのではないか?」と騒がれていますが、実際のところBaiduサーバに個人情報は送られているのでしょうか?

杉浦社長(以下、敬称略) Baiduサーバに端末IDなどの個人情報を送っている、というのは確認できました。
ESファイルエクスプローラーではクラウドストレージを利用できるのですが、各言語ごとにその地域のクラウドを選択できるようになっています。
言語を日本語に設定しているとBaiduクラウドは表示されないのですが、中国語に切り替えるとBaiduクラウドも選択できるようになります。
そこで、Baiduにアクセスした際に端末の個別IDなども一緒に送られていました。

言語を日本語(左)から中国語(右)へ切り替えるとBaiduサーバが選択できるようになる

───つまり、世間で騒がれているように「勝手に個人情報がBaiduに送信されている」という事実があるということなのでしょうか?

杉浦 個人情報の送信が勝手にされているのかどうか、という点がポイントになります。
世間で言われているように、必要のない場面で勝手にどこかのサーバと通信している、というような事実は確認できませんでした。

あくまでも、Baiduのアカウントを持っているユーザーがBaiduクラウドを利用した場合のみ、端末の個別IDなども一緒に送られている、という事実しか確認できていません。
他のクラウドを利用した場合はこうした個人情報は送信されていないのですが、ESファイルエクスプローラーの提供元であるES APP Groupは中国の企業なので、同じ中国企業であるBaiduが有利になるように少し踏み込んで個人情報を送っている、ということかもしれません。

───要するに、Baiduを利用していないユーザーにとっては今回の騒動は無関係だということですか?
杉浦 Baidu利用時以外にBaiduやその他のサーバに個人情報を送信している、という事実は今のところ確認されていません。
使用環境にもよるかもしれず、全ての可能性を検証しつくした訳ではないので断言はできませんが、自分たちで現在確認できた事実から判断すれば今のところそう言えると思います。

結局は、ルート権限を使うアプリをどこまで信用するかという問題

───結局のところ、ESファイルエクスプローラーは安全なアプリなのでしょうか?
杉浦 ESファイルエクスプローラーはルート権限を使うアプリなので、やろうと思えば個人情報を悪用することはできます。
ただ、ルート権限を使うアプリはこのアプリ以外にもたくさんあるので、そこまで騒ぐほどのことではないと思います。というより、これで騒いでいたらかなりのアプリが危険だということになってしまいます。

secroidを確認してみて、想像以上に多くのアプリがルート権限を使っていることに筆者も驚いた。

当社の運営するsecroidというサービスでは、アプリがルート権限を使っているか、そのアプリが端末内のコアな情報にアクセスできる仕組みを持っているか、を自動で判断してリスク判定をしていますが、最終的にはルート権限を悪用しているのかどうかが、そのアプリがマルウェアかどうかを決めます。
ルート権限を悪用しているかどうかは結局は人間が判断しなければ分からないので、自動で判断できるのはあくまでも「危険なことができうる仕組みを持っているか」という部分だけです。
ルート権限を使っているESファイルエクスプローラーが安全かどうか、という判断はこのアプリをどこまで信用するのか、ということになると思います。

巷で危険なアプリだと騒がれている『ESファイルエクスプローラー』だが、Baiduを利用していない限りは個人情報については問題がない、と今のところでは言えそうだ。
しかし、個人情報にアクセスできる権限を持っているアプリであり、全ての環境・条件下で検証ができているわけではないので、このアプリが信用できないユーザーはアンインストールするべきだろう。

ただ、secroidを確認してみれば分かるのだが、このアプリに限らずかなりの数のアプリがルート権限(端末の全ての情報にアクセスできる権限)を使用できる場合には使用しており、客観的に判断すれば『ESファイルエクスプローラー』と同じだけの脅威があるアプリはものすごく沢山ある。
アプリが危険であるかどうかの最終判断はソフトではできないため、リスクをしっかりと理解した上で「どこまでそのアプリを信用するのか。どこまでリスクを受け入れるのか。」を考えてアプリを利用することが重要だと、今回の取材を通して痛感した。

ネットエージェント株式会社 代表取締役社長 杉浦 隆幸氏

日本国内では未だ殆ど認識されていなかった「ネットワークセキュリティ」を専門に行う企業として、2000年にネットエージェント株式会社を設立。
インターネットを経由した不正アクセスの被害に対する対応策の提供だけでなく、情報漏洩対策・コンピュータフォレンジック・ネットワークフォレンジック・Winny対策など、様々なサービスを提供。
近年ではAndroidアプリで不正に個人情報を窃取するアプリをいち早く発見し、その危険性や対策方法を世の中に広めるといった活動も実施しており、アプリの構造解析から得た情報を元に判定したリスク情報を公開する『secroid』を運営している。

ネットエージェント株式会社
Androidアプリの潜在リスクチェックはsecroid(セキュロイド)

▼関連記事
杉浦隆幸氏が語るAndroidのセキュリティ
東京電機大学未来科学学部長の安田浩氏、ネットエージェント株式会社代表取締役社長の杉浦隆幸氏、株式会社DDS代表取締役社長の三吉野健滋氏による「情報セキュリティの未来」鼎談

コメントは受け付けていません。

PageTopへ