ユーザが加害者になる可能性もあるスマートフォン「エゴアプリ」に注意（トレンドマイクロ）

トレンドマイクロは、日本国内におけるモバイルアプリの実状と具体的な評価方法を全三回にわたってブログで紹介。今回は、スマホ利用における大きな脅威である不正アプリによる情報の抜き取りに関して報告している。

脆弱性と脅威脅威動向

2012.11.1 Thu 17:37

「ANDROIDOS_CONTACTS」が電話帳の内容を外部サーバへ送信する際の通信全 1 枚拡大写真

トレンドマイクロ株式会社は10月31日、日本国内におけるモバイルアプリの実状と具体的な評価方法を全三回にわたってブログで紹介している。モバイル向けアプリにはさまざまな種類があり、中には無料または格安で活用できるものも多く存在する。しかし、すべてのアプリが利用者の期待する動作を実現してくれるわけではない。安全で快適に利用するためには、アプリの性質を正しく理解し、そのリスクに対しても理解が必要としている。

第一回となる今回は、スマホ利用における大きな脅威である不正アプリによる情報の抜き取りに関して報告している。同社では、利用者が潜在的に望まない挙動をするアプリを「利己的な＝エゴな」アプリであるとして「エゴアプリ」と定義している。エゴアプリには、「プライバシー情報をユーザが認知せずに勝手に利用する」「ユーザの許諾を得ずに広告を強制表示する」「端末のシステムリソースを過剰に消費する」といった特徴がある。

10月30日、警察機関は相次いで「スマホ情報流出アプリ」にかかる不正指令電磁的記録供用事件の被疑者を逮捕したと発表している。警視庁サイバー犯罪対策課は「ANDROIDOS_DOUGALEK」ファミリ（通称「the movieウイルス」）と呼ばれる事件にからみ、アプリを作成したIT関連会社経営者の男ら5人を逮捕したと発表し、京都府警サイバー犯罪対策課と伏見署は「ANDROIDOS_CONTACTS」ファミリ（通称「電池長持ち」「電波改善」「スマソーラー」「Power Charge」「Solar Charge」など）と呼ばれる事件にからみ、アプリを作成した会社役員を逮捕したと発表している。

これらの不正アプリは、期待した機能とは別に、ときには期待した機能すら提供せずに、利用者の期待を裏切る形で利己的に情報流出を行っていた。攻撃者は「電話帳」を情報流出対象として狙いをつけ、不正アプリが感染した端末本体の電話番号だけでなく、電話帳に記録していた名前、電話番号、メールアドレスを外部のサーバに送信していた。このため、感染した本人だけでなく、電話帳に登録された知人の情報が攻撃者のもとへ流出する。トレンドマイクロでは、スマートフォンのセキュリティ対策を怠ることは、自身が被害者となるだけでなく、意図せぬ形で加害者となる可能性があることも理解をしておく必要があるとしている。

《吉澤亨史（ Kouji Yoshizawa ）》