バイドゥのSDKにバックドア機能――バイドゥは「修正を完了した」とコメント

[田中聡，ITmedia]

　中国バイドゥのAndroid用SDK（ソフトウェア開発キット）「Moplus」に、バックドア機能が実装されているという調査リポートを、トレンドマイクロが11月6日に発表した。

　バックドアとは「裏口」「勝手口」を意味する言葉で、セキュリティ対策を回避し、ユーザーの許可なしに遠隔操作を可能にする機能のこと。Moplusのバックドアにより、Android端末をインターネットに接続するだけで、「フィッシングサイトへの誘導」「任意の連絡先の追加」「偽のショート・メッセージ・サービス（SMS）送信」「リモートサーバへのローカルファイルのアップロード」「アプリをAndroid端末にインストール」を実行される恐れがあるという。

　トレンドマイクロの調査によると、Moplus SDKは多くのアプリに使われており、1億人のAndroidユーザーが影響を受けた恐れがあるという。また不正プログラムが既にMoplus SDKを利用していることも判明したとのこと。同社が、Android 6.0を搭載した「Nexus 6」で、Moplus SDKを取り入れた「Baidu Map」を起動したところ、不正なサービス「bdservice_v1」が常時バックグラウンドで動作し、端末に連絡先が追加されていく様子が確認できたという。

トレンドマイクロが確認した、Moplus SDKを利用したアプリ（写真＝左）。「Nexus 6」に連絡先が勝手に追加されている様子（写真＝右）

　本件についてバイドゥジャパンがコメントを発表。Android向け「Simeji」アプリにはMoplus SDKは使用していないという。またバイドゥ本社が、10月30日にMoplus SDKの脆弱（ぜいじゃく）性について対応し、修正が完了したこともあわせて発表。更新したアプリはGoogle Playに提出しており、承認も得ているとしている。