非公認アプリでアカウント乗っ取り被害、IPAが注意喚起

1月に企業の非公認アプリがアプリストアで出回る事件が起きたが、8月にこれが原因とみられるアカウントの乗っ取り被害が発生していた。

[ITmedia]

　情報処理推進機構（IPA）は9月1日、サービス事業者などの企業が認定していない非公認アプリの利用でアカウントの乗っ取り被害が起きたとして注意喚起を発表した。公認アプリの提供や利用が推奨されるとしている。

　非公認アプリをめぐっては、2014年1月にApp Storeで「ピザーラ」や「マツモトキヨシ」などの企業のサービス名を名乗る非公認アプリが配信され、運営元が注意を呼びかけたり、Appleに削除依頼したりする事態が発生。IPAによると、具体的な被害は確認されていなかったものの、8月に非公認アプリのユーザーのアカウント情報が盗み取られたとみられる事件が発生した。

　被害者はApp Storeでゲームアプリを公開しており、Appleの開発者支援アプリ「iTunes Connect」とゲームアプリの売上管理のために第三者の提供するApple非公認アプリにApple IDとパスワードを登録、利用していた。ところが、被害者のアカウント情報が何者かに乗っ取られ、ゲームアプリの所有権が奪われたほか、ゲーム内課金での収益も受け取れなくなってしまったという。アカウント情報は非公認アプリから盗まれたとみられている。

不正な非公認アプリによる情報の盗み取り（IPAより）

　IPAは、非公認アプリを利用することでアカウント情報が盗み取られる恐れや、Webブラウザを起動してWebサイトに接続するような場合では詐欺サイトなどに誘導される危険もあると解説。ECサイトなどでは不正な売買が行われて金銭的な被害が生じる恐れもある。

　ただ、非公認アプリは第三者がユーザーの利便性の向上といった目的で提供しているケースも。IPAではIDやパスワードなどの情報を使わない非公認アプリは注意喚起の対象外とし、IDやパスワードなどを必要とするサービスでは公認アプリの有無を事業者に確認したり、公式サイトなどから入手してほしいという。

　また、事業者にも公認アプリを提供することが望ましいと呼び掛けた。非公認アプリで顧客らに被害が発生した場合、自社サービスやブランドに対する信頼が損なわれるなどの被害につながりかねないと指摘している。