PR

 もっというとモジュール内に不具合があって、モジュールの開発者すら意図していない情報を送信していたという「事故」が過去にも発生している。利用者情報に関わる不具合は、機能が説明通りに動作しないといった普通の不具合とはまったくレベルが異なること理解しておきたい。

 私が事務局長を務める日本スマートフォンセキュリティ協会(JSSEC)が2014年2月6日に開催したシンポジウムでは、Androidアプリに含まれている情報収集モジュール提供事業者の本国所在地に関する調査結果を公表した(関連サイト:情報セキュリティシンポジウム 「スマートフォンとDBの3つの関係 A・B・C」~Application & Big-data with Confidentiality~)

 この中の「アプリのプライバシー保護に向けた取り組み」情報収集モジュール調査Gリーダー/ネットエージェント杉浦隆幸氏の報告によると、米国54、日本49、中国29を初め、世界で150を超えるモジュールが様々な目的でアプリに組み込まれ利用されていることが分かる()。

図●抽出された情報収集モジュール提供者数分布図(日本スマートフォンセキュリティ協会資料より、ネットエージェント杉浦隆幸氏作成)

 この実態調査はこれからであるが、アプリ開発者に適切に説明しているモジュールとそうでないモジュール、説明している内容と送信する内容に食い違いがみられるモジュールなど現状では様々なものが存在しているようだ。

 こうなると適切にビジネスを遂行している(アプリやモジュールの)開発者が割に合わない思いをしないことが重要になる。そんな事態を防ぐ上では、冒頭でGalaxyのバックドアを見つけた開発者の行動は有意義といえる。JSSECをはじめとする団体がこれら調査を推進し、結果的に実態の改善に貢献していくことが、今後のIoT社会で重要な役割を果たすものだと認識している。

■変更履歴
1ページ5段落め、サムスンの見解の有無について誤りがありました。これを受け、当該段落を「この問題について、サムスンはセキュリティ上のリスクはないと釈明したようだが、意図的か、そうでないかは別として、端末内の情報に第三者がアクセスできる仕組みがあるとすれば、理由のいかんに問わず、メーカーはより明確な説明責任を果たさなくてはならない。」と修正しました。お詫びして訂正します。[2014/4/5 13:00]

西本 逸郎(にしもと いつろう)
ラック 取締役CTO
1986年 ラック入社。北九州市出身。2000年セキュリティ事業に転じ、日本最大級のセキュリティセンターJSOCの構築と立ち上げを行う。さらなるIT利活用を図る上での新たな脅威への研究や対策に邁進中。情報セキュリティ対策をテーマに講演、新聞・雑誌などへの寄稿など多数。
代表的な社外活動は、日本スマートフォンセキュリティ協会 事務局長、セキュリティキャンプ実施協議会 事務局長など。著書「国・企業・メディアが決して語らないサイバー戦争の真実」(中経出版)。2009年度情報化月間 総務省 国際戦略局長表彰、2013年情報セキュリティ文化賞受賞など。