PR
「Androider」エバンジェリストの佐藤進氏
「Androider」エバンジェリストの佐藤進氏
[画像のクリックで拡大表示]
アプリをダウンロードする際に見る最重要項目が「アクセス許可」のページ(画面はアンドロイダーが提供する「ロイダーフラッシュ」のアクセス許可のページ)
アプリをダウンロードする際に見る最重要項目が「アクセス許可」のページ(画面はアンドロイダーが提供する「ロイダーフラッシュ」のアクセス許可のページ)
[画像のクリックで拡大表示]
不正アプリが“普通”にしか見えない例。説明に使われる日本語にパターンがあり、「ジョークアプリ」と記述があるなど手掛かりはある
不正アプリが“普通”にしか見えない例。説明に使われる日本語にパターンがあり、「ジョークアプリ」と記述があるなど手掛かりはある
[画像のクリックで拡大表示]
ユーザー側で対応すべき4ポイント。3番目と4番目は個人では困難だが、アプリ提供者やマーケット運営者などが独自に枠組みを策定する動きが活発になっている
ユーザー側で対応すべき4ポイント。3番目と4番目は個人では困難だが、アプリ提供者やマーケット運営者などが独自に枠組みを策定する動きが活発になっている
[画像のクリックで拡大表示]

 Androidアプリに関するレビューや情報を発信するWebサイト「Androider」を運営するアンドロイダーは2013年2月27日、セキュリティ審査済みのアプリ情報をAPIを通じて無償提供するサービス「アンドロイダーAPI」を4月に開始すると発表した。新着/注目アプリやカテゴリー別ランキングの情報、開発者名や概要など個別のアプリ情報を提供する。携帯電話事業者や端末メーカー、セキュリティ事業者、教育関連企業などに採用されることを狙う。

 2010年2月にオープンしたAndroiderは、レビューサイトという特性上、開発者の身元を確認したり、独自のセキュリティチェックを設けたりして、同サイトで紹介するアプリの安全性を高める取り組みを続けてきた。現在公認アプリは4102個。

 発表会の中で、同社でエバンジェリストを務める佐藤進氏は、Android向け不正アプリの傾向について説明。「個人情報を抜き取る悪意ある広告が今後増えていく」と述べた。

 佐藤氏が整理した不正アプリは3種類ある。「ワンクリック詐欺」、「悪意あるアプリ」、そして「悪意ある広告」の3つである。ワンクリック詐欺は、端末にインストールしたアプリが、アプリ利用中に利用料などを請求するダイアログを出し続ける。実は架空の請求で、よく確認せず支払ってしまう利用者を呼び込む。悪意あるアプリは、インストールすると利用者の電話番号などを読み取り、サーバーに送信するプログラムが仕組まれている。

 中でも佐藤氏が「今後問題になる」と指摘するのは、アプリに表示される広告が個人情報を盗むタイプのものだ。Androidアプリはインストール時、そのアプリがどんな機能を使うかの一覧(「パーミッション」、日本語では「アクセス許可」)を利用者に表示するようになっている。利用者は、「ネットワークへのフルアクセス」や「この端末上のアカウントの使用」といった項目を確認し、「インストール」ボタンをタップして初めてそのアプリを利用できる仕組みだ。ところが、このアクセス許可の仕組みでは、そのアプリを使う際にどんな広告が入るのかまでは分からない。このため、広告に仕込まれたプログラムが個人情報を抜き取る恐れがあるとする。

 佐藤氏はユーザー側でできる4つの対策を挙げた。(1)セキュリティ対策アプリの導入(2)安全な媒体/マーケットの利用(3)危険なパーミッションの理解(4)危険な広告の理解---である。このうち、(3)と(4)はなかなか実現しにくいとした。現在、総務省や事業者、業界団体が、これを改善すべく、安全にAndroidアプリを使える枠組みを整備しているという。