電話番号を盗むチャットアプリが続々と――出会い系業者が関与か

McAfeeはチャット機能などをうたう不審なアプリがGoogle Play上で幾つも発見しているが、同社の研究者がこれを仕掛ける提供者側の手口や思惑などを分析している。

[中島大輔，マカフィー]

（このコンテンツはマカフィー「McAfeeブログ」からの転載です。一部を変更しています。）

　先のブログでMcAfeeは、日本および韓国ユーザーの電話番号の収集を行う不審なAndroidアプリをGoogle Play上で発見したことを報告しました。私たちはさらに、電話番号を盗み出す別の2つの不審な日本語チャットアプリをGoogle Play上で確認しました。それらのアプリのダウンロード数はともに1万回から5万回に上ります。また、アプリ開発者が不正な方法でGoogle Play上でのアプリの評価を上げていること、アダルト出会い系サイトを運営していることも分かっています。

端末ユーザーの電話番号を漏えいさせる2つの不審な日本語チャットアプリ

　これらの不審アプリ「CHATLINE」「CONNECT LINE」は、どこか人気メッセージングアプリ「LINE」との関連性をユーザーに印象付けるようなアプリ名ですが、実際には「LINE」とは何の関係もありません。

　これらのアプリは端末ユーザーの電話番号、IMEI（国際移動体装置識別番号）、SIMシリアル番号といった情報を取得し、外部のWebサーバに送信します。これは、チャットサービスを使用するためのユーザープロファイルを作成する前に、ユーザーが単にアプリを起動しただけで行われます。さらに、ユーザープロファイルを作成すると、画面上で入力したニックネーム、性別、居住地域、生年月日、自己紹介といった情報が、上記の端末情報とともに同じサーバに送信されます。これらの属性情報は必ずしも正しい情報を入力する必要はありませんが、実際のチャット内でより詳細な個人情報や趣味・嗜好などの属性情報を送信すると、それらのメッセージが電話番号と関連付けられてアプリ開発者に保存される可能性も否定できません。これは、プライバシー上の大きなリスクになりえます。

不審なチャットアプリの画面

アプリからサーバに送信される情報の例

　アプリはインストール時に「READ_PHONE_STATE」その他の権限を要求しますが、電話番号などの端末情報を外部サーバに送信することを、Google Play上のアプリ説明ページやアプリ起動時の画面上でユーザーに対し通知も承諾確認もしていません。また、その旨を（アプリ実行後に初めてアクセス可能な）利用規約ページなどにも記載していません。これは、アプリがユーザーに知られることなく密かに機密情報を収集していることを意味します。

　Google Play上でこれらのアプリは非常に高いレビュースコアを得ていますが、どうもこれは不正な方法で行われているようです。アプリが提供するチャットサービスは登録無料ですが、実際のチャットを行うには「ポイント」をGoogle Walletなどで購入する必要があります。初回登録ユーザーにはボーナスポイントが付与されますが、それはすぐに消費され、チャットを続行するには追加ポイントを購入する旨が告げられます。ここで、アプリは「Google Play上でアプリに高スコア（4か5）の評価を行えば、さらにボーナスポイントを無償で付与する」というオファーを行うことで、不正にアプリの評価スコアを釣り上げているようです。このような順位操作行為はGoogle Play Developer Program Policiesで厳しく禁止されているにもかかわらず、平気でそれを無視し不正を行っていることから、これらのアプリの開発者には悪意があるといえます。

不正な方法でGoogle Play上のアプリ評価を釣り上げている

　今回発見された2つのアプリがほぼ同じコードを共有していることから、これらのアプリは実際には同じ開発者か互いに関連するグループによって開発されたものだと私たちは考えています。また、私たちがこれらのアプリ開発者についてアプリ上に記載されている会社名から調査したところ、これらの会社はいくつかのアダルト出会い系サービスを運営しているようです。今回の不審アプリが収集した電話番号その他の情報が詐欺や悪質な目的で使用されているかどうは確認できていません。しかし、これらのアプリのユーザーは自身のプライバシーにとって脅威となる情報がこのような開発会社に勝手に送信されていることを認識すべきです。

不審アプリの開発会社が運営しているアダルト出会い系サービス

　Android端末のユーザーは常に、興味を持ったアプリが外部送信する可能性のある個人情報について、それらのアプリのインストール前に確認するべきです。例えば、アプリのダウンロードやインストールに表示されるパーミッション要求画面、Google Play上のアプリ説明ページの内容、もし存在する場合はアプリの利用規約やプライバシーポリシーなどです。そして、もし個人情報が開発者に渡される可能性がある場合は、その開発者が本当に信頼に値するかどうか注意して確認してください。特に、チャット、SNS、その他コミュニケーション関連アプリの場合は、よく知られていない開発者によって公開された比較的新しい（つまり、使用実績の少ない）アプリのインストールを避けることをお勧めします。