アイコンや名前でユーザーをだますAndroidアプリの手口とは？

アプリストアで紹介される機能とは異なる不正行為を働くスマホアプリの特徴をIPAが解説している。

[ITmedia]

　「面白そう……」と思って公式アプリストアなどからインストールすることは多いスマートフォンアプリ。個人情報などを外部に不正送信するなど、ストアでの説明とは異なる機能を持つ不正アプリが流通していた問題で、情報処理推進機構（IPA）が独自に解析した結果を交えて注意事項などを紹介している。

　この問題は、人気のゲームやアニメ作品などの名前に「The Movie」といったタイトルを付けたAndroidアプリが公式ストアのGoogle Playストアで出回っていたもの。ストア上では動画視聴アプリと紹介されていたが、実際には端末に保存されている電話帳データなどの個人情報を外部のサーバへ勝手に送信していた。IPAやセキュリティ企業の調査で30種類以上が公開されており、7万件以上のダウンロードがあったとされる。電話帳に登録されたユーザーの知人の個人情報を含めると、流出規模は数百万件に上る可能性がある。これらのアプリは既に公式ストア上から削除されている。

不正アプリが情報を流出させるイメージ（出典：IPA）

　事態を受けてIPAでは不正アプリの1つを使って、実際に不正アプリがどのような動作を行うのかをスマートフォンで検証（GALAXY Tab SC-01C、Android 2.2を使用）した。

　まず不正アプリを公式ストアからインストールする際に、アプリが必要とする権限の確認画面が表示される。確認画面で「同意してダウンロード」「インストール」のボタンを押すと、表示された権限をユーザーが許可したとみなされ、インストールされる。

　インストール後、このアプリは「android_id（端末の識別子）」と端末の電話番号を特定のサーバに送信するようになっていた。この送信が成功すると、次に電話帳に登録された名前、電話番号、メールアドレスを全て送信する。これらが行われた後に、公式ストアなどで紹介した動画視聴などの機能が実行される仕組みだった。

不正アプリが必要とする権限

権限（パーミッション）名	許可した場合にどうなるか（抜粋）
電話発信	アプリが端末に付与されている電話番号や端末識別番号、SIM情報などを読み取ることができる。電話の着信状態などの情報も読み取ることができる。
個人情報	アプリがアドレス帳など連絡先データを読み取ることができる
ネットワーク通信	アプリがインターネットなどにある外部のサーバと自由に通信できる。

　IPAによれば、今回の不正アプリ以外にもワンクリック詐欺や、端末を外部から不正操作できる「ボット」、特定の国でのみ通話発信やメール／メッセージ送信を行うものといった不正アプリが存在する。

　IPAが推奨するスマートフォンの基本的なセキュリティ対策は次の6つ。

1. スマートフォンをアップデートする
2. スマートフォンにおける改造行為を行わない（いわゆる「root化」「Jailbreak（iPhone、iPadなど）」）
3. 信頼できる場所からアプリをインストールする
4. Android端末ではアプリをインストールする前にアクセス許可を確認する
5. セキュリティソフトを導入する
6. スマートフォンを小さなPCと考えてと同様に管理する

権限（パーミッション）の許可確認画面（出典：IPA）

　またアプリをインストールする前に、情報収集を行うこともポイント。ユーザーがアプリに関する情報を投稿できるストアなどでは（1）レビュー記事に悪い評判は書かれていないか、（2）アプリ開発者が他に公開しているアプリの評判に悪いものがないか、（3）開発者やアプリ名をインターネットで検索して悪い評判や噂などはないか――を確認することで、悪い評判や噂がある場合はインストールをいったん見送るべきという。