数百万規模の個人情報流出　アンドロイドに利便性の代償

スマートフォン（高機能携帯電話=スマホ）向けに開発された複数のアプリを通じて、端末内の電話番号やメールアドレスといった個人情報が外部に流出していたことが明らかになった。問題となったアプリは、米グーグルのスマホ用OS「Android（アンドロイド）」で動作し、グーグルの公式アプリストア「Google Play」で公開されていた。現在明らかになっているだけでも問題のアプリは16本。ダウンロードされたアプリは延べ6万件超にのぼり、百万人を超える規模の個人情報を収集した可能性がある。

急速に普及したスマホは、多様なアプリをダウンロードしていつでも使えるところが魅力の一つ。そのプログラムの技術的な"穴"（セキュリティーホール）を突いて、悪意のある開発者がアプリを使って個人情報を入手し悪用する恐れが高まっている。ユーザーは利便性の代償として一定のリスクがあるということを認識し、アンドロイドの特性を見据えた自衛手段を講じる必要がある。

「複数のアプリに情報収集機能を組み込んでいたことに悪意を感じ、警告を発することにした」――。今回、個人情報収集アプリを発見したネットエージェントの杉浦隆幸社長はこう説明する。このアプリを使うと、ユーザーが想定しない動作をして、スマホの持ち主の電話番号や、連絡帳に記録してある個人名、電話番号、メールアドレスなどの情報を特定のサーバーに送信することが確認されている。

現時点で「空手チョップ！　the Movie」など16本が二つのIDで登録されており、送信先のサーバーは1カ所。人気ゲームを動画で紹介するアプリなどを装って、ユーザーの興味とダウンロードを誘い、個人情報を収集していた。この件では警視庁が事実関係の確認を進めている。

「個人情報を集めているアプリがあるらしい」。4月11日、杉浦社長はアプリ紹介サイトの運営者から、怪しいアプリの存在について通報を受けた。そこで同アプリを入手・解析したところ、ソースコードなどから個人情報を送信していることを確認。杉浦社長が12日夕方、ブログとツイッターでこの調査結果を公開したことで広く知られることになった。

実はこのアプリに組み込まれた「個人情報を収集する手法」そのものは、スマホでは以前から使われてきた"古典的"なものだ。ダウンロードする際にアプリは「個人情報の読み取り」に関して許可を求めるが、その意味は分かりづらく、ユーザーが安易に許可してしまうという点を突いている。

具体的にみてみよう。アンドロイドのアプリには、インストールの際に「アプリケーションに許可する権限」を画面に表示する。ユーザーがアプリの挙動について許可を与えるための段取りだ。問題となったアプリの場合、スマホのインストール画面に「ネットワーク通信　完全インターネットアクセス」「電話/通話　端末のステータスとIDの読み取り」「個人情報　連絡先データの読み取り」といった内容を表示し、この権限を使ってよいかユーザー確認をとっている。

　ここでOKを出すと、アプリは端末内の情報にアクセスできる大きな権限を手に入れられる。具体的には端末本体の電話番号や通話中かどうかのステータス、通話相手の電話番号、連絡先の名前や電話番号、メールアドレスなどにアクセスでき、それらを外部のサーバーに送信することが可能になる。

アプリを使おうとするユーザーは、インストール作業に意識が向かうため、「与える権限」の細部をチェックすることがおろそかになりがちだ。別途、詳しい説明を読むこともできるが、ネットワーク通信のところには「ネットワークソケットの作成をアプリに許可します」と書かれているだけで、「端末内のデータを外部に送る」とまでは明記されていない。どの程度の許可までを与えているかは文面だけでは分かりづらいのが現実だ。

では、アプリの配布を偽って個人情報を収集すると、その開発者にはどういう法律が適用され罰則が与えられ得るのだろうか。これも今回のケースでは不透明な部分が残る。

ウイルス作成罪は、「（1）正当な理由がないのに、（2） 無断で他人のコンピュータにおいて実行させる目的で、コンピュータ・ウィルスを作成・提供した」場合に成立する。スマホアプリでは、利用目的の説明は不十分であっても、多くの場合、ネットの利用や連絡帳へのアクセスについて「許可」を得ており、その時点で「無断で他人のコンピュータにおいて実行させる」という条件に当たらない可能性もある。捜査当局は、該当する法律を見極めながら、事実関係を検証することになるだろう。

だがスマホ内部に蓄積された個人情報の流出が引き起こすリスクは想像以上に大きい。

自分のスマホにあるメールアドレスを第三者に転送されると、自分の交友情報がそっくり把握される。さらに連絡先として管理している知人の情報が流出すれば、その人々の個人情報が名簿業者に転売されて迷惑メールやワンクリック請求、詐欺などに悪用される恐れがある。

情報セキュリティー会社、ラックの西本逸郎取締役最高技術責任者は「利用者本人以外の個人情報が流出したことは大きな問題だ。スマホユーザーはほかの人に迷惑が及ばないよう慎重に振る舞うべきだ」と指摘する。実際、持ち主に加え、知り合いの個人情報まで収集されると、漏洩データの量は一気に膨らんでしまう。

ユーザーがダウンロードに際してアプリに一定の情報収集やアクセスの権限を「許可」する方法では、悪意のあるアプリが広がる温床と指摘されてきた。「インストール時に権限の確認を求めてくるため、ユーザーは『そうしなければ入手できないもの』と考え、安全性をチェックする感覚がマヒしてきた」と杉浦社長は指摘する。ただ、ここまでアプリ市場が拡大すると「自分のスマホにダウンロードする際に安全性をすべて確認するのは事実上不可能」（スマホに詳しいセキュリティーの専門家）との見方も多い。

今やスマホは情報機器の主役の座にある。MM総研の調べでは2011年度だけで前年比2.7倍の2340万台が出荷され、12年3月末には全携帯電話ユーザーの22.5%まで普及した。これまでのスマホユーザーは、パソコンの知識が比較的豊富でセキュリティーにも精通した人が多かったが、市場の裾野が広がったことでパソコンを経由せずにいきなりスマホを使い始めるユーザーも少なくない。

これがアプリを巡る安全性の問題が広がる一因にもなっている。

「スマホのアプリってサイコー。（略）盗聴、盗撮、尾行、あなたを狙うアプリに要注意！」――。経済産業省傘下でセキュリティー対策業務に携わるIPA（情報処理推進機構）セキュリティセンターは3月、こんな啓発広告を東京・山手線など首都圏と大阪環状線などJRのトレインチャンネルで流した。「新生活が始まる春にスマホユーザーの急増が予想されるため、やや過激な表現を交えて注意を喚起することにした」（IPA戦略企画部の横山尚人グループリーダー）

　事実、1月にはアンドロイドスマホをターゲットとしたワンクリック詐欺アプリが国内で出現した。同アプリでは、個人情報を把握されたユーザーにSMS（ショート・メッセージング・サービス）で督促が届く事例も確認されている。IPAが昨年12月に実施した調査では「スマホ（アンドロイド）でインストール前にアクセス許可を確認する」と答えたユーザーは50.4%。半数のユーザーがそのまま無防備な意識のままインストールしている計算になる。

「携帯電話とパソコンの両方の機能を備えるスマホには、従来以上のリスクがある」とIPA技術本部の加賀谷伸一郎調査役は警告を発する。ユーザーが肌身離さず持ち歩き、全地球測位システム（GPS）などのセンサーを搭載したスマホには電話番号やメールアドレスなどの連絡先にとどまらず、個人の日常的な行動そのもののデータが蓄積されているからだ。

システムの構造はパソコンよりも簡単なため、悪意を持った開発者にはどの場所に重要な情報が記憶されているかを見つけやすい。しかも常に電源オンでネットに接続でき、自律的に通信するため、大事な情報が知らない間にこっそりどこかに送られていたとしても気付きづらい。「パソコンで無料ソフトをダウンロードする場合、アプリの評判を調べたりダウンロードサイトの信頼性を確認するなど細心の注意を払っていたはず。スマホにはそれ以上の注意が必要なのだが、ユーザーの意識はまだ低いようだ」（加賀谷氏）

こんな例えもある。「これまでは監視員付きのプールだったが、今はサメも泳いでいる海のようなもの」と野村総合研究所の北俊一上席コンサルタントは従来型携帯電話（フィーチャーフォン）と異なり、スマホが直面しているリスクをこう表現する。

従来型の携帯電話では通信会社がOSを定めアプリの安全性をチェックし、危険があるものは流通させないようコントロールをしてきた。スマホでは、グーグルや米アップル、米マイクロソフトなどOS開発会社が決めた仕様で端末やアプリを作る。主導権は通信会社からOS、端末、アプリの会社に移っている。

では危険なアプリをインストールしないためにはどうすれば良いのだろうか。個人が最大限すべき対策は「信頼性が高いマーケットからのアプリだけを利用する。評価や評判を注意深くチェックすることくらいしかない」（セキュリティーの専門家）とされる。

今回はOS提供元であるグーグルが危険性のあるアプリを配信していた。45万本以上のアプリが並ぶグーグルの公式サイト「Google Play」は、「（危険性の有無を）機械的に検証しているようだが、今回の件でもわかるように、アプリの振る舞いまではチェックしていない」（杉浦社長）。

これまでもグーグルは何回か、個人情報を流出させる可能性があるアプリをマーケットで配布して、指摘を受け削除してきた。この状況が改善されない限り、アプリの信頼性チェックを含めたリスク管理はユーザー自身に委ねられていることになる。

　しかもアンドロイドではマーケットの開設が自由で、メールで送られたアプリをインストールすることも可能。アップルやマイクロソフトのスマホ用OSでは、両社それそれがアプリを厳密に審査し、両社が開設したマーケットだけで流通させている。グーグルはアプリを配布したい開発者に、自由度が高くオープンな仕組みを作って市場の活性化を図ったが、その分、悪意を持つ開発者が作ったアプリを拡散させる危険性も伴うことになった。

こうした状況を見て「信頼性の高いマーケット」を有料で運営する企業も現れている。

KDDIはアンドロイド向けの有料サービス「auスマートパス」（月額390円）で、厳密に検証したアプリだけを公開している。従来の枠組みではアプリを管理できなくなった携帯電話会社が、ユーザーの安全性と利便性を確保するためり上げたサービスといえる。

アプリ開発者側にも、個人情報など秘匿性の高いデータの扱いについて注意が求められる。アンドロイドでは「将来使うかもしれないという理由で、使っていない情報への権限を得ているアプリが多い」（西本氏）。いずれ機能を拡張するときを見越して、アクセスできる権限を広く取ってしまうというのだ。アプリの機能更新（アップデート）時にアクセス権限を拡大するケースも多い。

だがユーザーのセキュリティー意識は今後、着実に高まる。アプリの信頼性を高めるためには、開発者側は「不要な個人情報にアクセスする権限はあえて取らない」という大原則に配慮する必要があるだろう。

「開発者は、自分のアプリにセキュリティーホールがあることで、ユーザーに迷惑をかけるリスクも負っている」（ラックの西本氏）。昨年の夏、米ドロップボックスのオンラインストレージサービス「Dropbox」というアプリで、第三者が勝手にデータを参照できるバグが確認された。開発者が想定していなかったセキュリティーホールが存在していたのが原因だ。「これと同様に、外部から情報を閲覧できる危険性があるアプリはいくつか見かける」（専門家）という。

アンドロイドは開発・提供の歴史が浅いことから、アプリ開発者の間でセキュリティー確保のノウハウが十分に浸透していないという事情がある。だが、アプリ会社は、ユーザーから許可を得て個人情報を扱える立場になった。情報漏洩が深刻な事件や社会問題を引き起こすというリスクを直視し、技術の検証を怠らないことが喫緊の責務だ。

（電子報道部　松本敏明）