20121217_01

スマホから個人情報が漏洩中!あなたはそれでも使い続けるのか…?大手=安全という思い込みの罠

  • このエントリーをはてなブックマークに追加

by [2013年1月18日]


スマホの普及拡大と共に、個人情報への保護意識の高まりで、一層注目が集まっています。
そのような中、ネットワークセキュリティを専門とするネットエージェント株式会社が2012年10月に、アプリの潜在リスクをチェックできるサービス「secroid(セキュロイド)」をリリースしました。同サービスはアプリが要求する権限と、さらにはモジュールの種類、個人情報やユーザ識別情報の送信先国等をチェックすることができます。
今回は同社代表取締役の杉浦隆幸氏に、Androidのセキュリティについてお話を伺いました。

secroidとは?

───secroidというウェブサービスの趣旨を教えて頂けますか。
ユーザーのリスクという視点に立ち、該当のアプリケーションがどういったリスクを持っているか、わかりやすく見せるサービスです。
安全なアプリを選べるようにする、マルウェアの傾向のあるアプリや個人情報を必要以上に取得しているアプリの権限について明確にする、というところを目的としています。

───企画はどういった経緯で生まれたのでしょうか?
Androidアプリのマルウェアが多いということで、まず昨年の頭に企画があがり、研究を始めました。その後2月にGoogleがバウンサーを実装し、これで不正なアプリを全て排除出来るという話だったので、一旦やめたんですね。しかし4月にthe Movieの事件が起こり、様子見もしましたが状況は変わらなかったので、9月に開発を始め、10月にリリースしました。


───secroid単体での収益化は考えていらっしゃいますか?
単体では無いですね。基礎研究と捉えています。ここからいかに応用してビジネスに繋げていくかといったところですね。

───secroidの非公式アプリがサードパーティーから出ていますが、こうしたものを社内で作る予定はあったのでしょうか?
予定はありましたが、専門性とは離れてしまうため逆に助かりました。アプリがないと利用が伸びないので、作って頂けたのは非常に良かった。

───secroidの左上に、ニコニコ動画のタイトルのような感じで一言コメントがありますが、あれはどなたが考えているのでしょうか?
私が全部考えました。名言集の単語をスマホ関連のものに置き換えただけなんですよ。

root権限を利用するアプリの怖さ

───アプリの危険性を5段階評価していますが、どういった基準が設けられているのでしょうか。
DANGERは、ウイルス対策ソフトでマルウェアと認識されるものや、Googleの禁止している動作、例えば通知エリアに広告を出すとか、標準ブラウザのホームページを勝手に書き換えるとか等を行うアプリをここに含みます。
root化を実施しているユーザーの方のことを考え、root権限を利用するアプリもDANGERに認定しています。root権限を使ってのコマンド実行には、やれることに制限が無いので非常に危険です。Androidで出来ることは全て出来てしまう。端末のroot権限を調べに行くアプリは、「脆弱な端末」を収集している可能性があると捉えています。
実際の社会事情を参考にして権限を評価に反映したりもします。端末内のアプリ情報を取得する権限については、本来であればMIDDLEでもいい場合もありますが、ユーザーの方の反応を受けてHIGHに格上げしたこともあります。

───危険度の判定は自動ですか?
基本的には、マーケットに公開されている情報を元に自動的に危険度を判定しています。ウィルスなど明らかに悪質なものや、セキュリティ関連で話題になったアプリ等は、手動で判定したりコメントを加えたりしています。

あの有名大手サービスも是正に迫られる可能性

▼マルウェアの傾向

───マルウェアが狙うのは常に電話帳というイメージがあるのですが。
端末の持ち主の情報を狙うより200倍、300倍の効果が得られますからね。

───電話帳のメールアドレスを抜いてスパムを送信する、営利目的のものが主なのでしょうか。
それもありますが、営利目的なら出会い系サイトに誘導するだけのアプリもあります。この手のものは権限をあまり必要としないので、機械的に規制するのが難しい。自動で作っている人たちが居るので、次々にGoogle Playに上がります。iOSの場合、目視の審査が入るのでこうはならないですね。

───最近の傾向というのはありますか。
ここ1年くらいで、多くの権限を使わずに広告を配信するようになりました。
ユーザーの知らないところで多くの権限を取るアプリもありましたが、許可なくユーザーを一対一で識別できるような情報の抜き取りは社会的な批判もあり減ってきているように思います。

───スマホ個人情報についての注目度が上がり、ソーシャルで拡散されるようになりましたね。
アプリのアップデート時に新たな権限を増やすと、通常ユーザーに、追加された権限の許可を求める警告が出されます。これがユーザーの方から見れば面倒であり、警戒につながると思います。そのため新しく権限が必要になった時に備えて、最初に取れるだけの権限を取っておくといった手法をとることも考えられます。
以前はよく見られる手法でしたが、社会的な批判は大きな力を持ち、アプリが求める権限を必要なだけに制限するといった変更が加えられたりもしています。
また、電話帳の情報を取得する際などには、ユーザーにはっきりその旨伝えるようになりましたね。以前はほとんど黙って実施されていましたから。
第三社の個人情報の扱いについて、今のところ総務省や消費者庁は具体的にされていないですが、規制がかかった場合にはその内容によりLINEやcommやFacebookのサービスは、日本において基本的な見直しが必要になってくるかも知れないですね。

モバゲーに与えたあなたの情報は
DeNA以外の海外の7社へ拡散し共有されている

───ユーザーの警戒心が高まったことで、要求する権限を少なく抑えたマルウェアが増えるのでしょうか?
権限に制限がかかると個人情報につながる動作にも制限がかかるため、マルウェアのような動作をするアプリ自体が少なくなっていくと思います。
ただ、大手で出されているアプリであると安心しがちですが、警戒するに越したことはないと思います。

───大手だからと安心しているユーザーが多いと思いますが。
大手で提供されているアプリであっても、ユーザーの方から得た情報が提供大手企業のみとは限らないです。
実際にアプリをインストールすると付属する広告モジュール経由にてユーザーの方の情報が別の企業6社を含む合計7社に送られていたりもしています。

───7社!? そのことはユーザーに知らせてあるのでしょうか?
プライバシーポリシーに「第三者に提供することがあります」と書いてあります。

───どういった「第三者」に流れているのか知るにはどうすればいいのでしょうか。
現状、一般ユーザーの方が簡単にこのような情報を知るにはsecroidが便利です。

───secroidはどういった方法で情報の送り先を知るのですか?
アプリ本体以外にどういったモジュールが入っているかを調べて、社名や国名、プライバシーポリシーの有無等を登録しています。この作業は手動での実施が必要ですが。

モバゲーのアプリをsecroidで確認すると、root権限を利用しており、また7社へユーザー識別情報を送信していることがわかる

怖いならガラケー

───ネットセキュリティ会社である御社社員の私物携帯はどのOSが利用されているのか気になります。
Android:iOS=6:4くらい。ガラケーの人も居ますけどね。

───ネットセキュリティに自信の無い方に勧めるとしたらガラケーですか?
ガラケーは安全に出来ていますからね。一般的にはなりますがiPhoneも安全性は高いです。
ただ、Androidもこれから安全になっていくと思います。そうしていきたい。
安全にしなければマーケットは大きくならないので、セキュリティ面での整備をしていきたいですね。そのために作ったのがsecroidです。

───ありがとうございました。

ネットエージェント株式会社
Androidアプリの潜在リスクチェックはsecroid(セキュロイド)

関連記事:
【完全に出会い系】FC2がメッセアプリに参入!「FC2Talk」がヤバ過ぎる

コメントは受け付けていません。

PageTopへ