Androidアプリ20万種の“リスク”5段階で格付け、ネットエージェントが公表


 ネットエージェント株式会社は11日、個々のAndroidアプリが内在する“ユーザーにとってのリスク”を独自にランク付けした結果を参照できるサイト「secroid(セキュロイド)」を公開した。利用は無料。

 Google Playのほか、SQUARE ENIX MARKETなどゲームメーカーの独自マーケットも対象に、現時点で約20万種類のアプリについて、そのプログラムの内容を機械的に解析。ネットエージェントが定義するリスクレベルに応じて「DANGER」「HIGH」「MID」「LOW」「SAFE」の5段階に分類している。インストール時に求められる権限(パーミッション)の項目から単純に判断しているのではなく、例えばアプリが送受信するデータの種類に個人情報が含まれるかどうかといった観点などからも評価しているという。

判定したリスクレベルが色分け表示される。なお、「ユーザー評価」はアプリマーケットでのもので、secroidでのリスクレベルには影響されない

 例えば「DANGER」とする判断基準は、「認定された悪意のあるソフトウェア(マルウェア)」「禁止されている動作を行う」「root権限で実行する」の3項目のいずれかに該当する場合だ。それよりもリスクが1段階低い「HIGH」は、「重要な情報を送信または、重要な機能を利用する」もので、具体的には「連絡先情報」「電話番号」「サーバーソケット」「電話をかける」「SMSを送る」「ブラウザの履歴情報・ブックマークの利用」が含まれる。

 一方、リスクが一番低い「SAFE」は、「インターネットを利用」するものの「特別な権限はなにも利用しない」アプリに限られる。

 なお、「DANGER」の要件にある「悪意」の定義は、「リモートコントロールが可能である」「プライバシーの侵害を目的としてる」「ソフトウェアの説明とは異なる用途を含んでいる」「第三者による改造版」「海賊版」となっている。また、「禁止されている動作を行う」とは、通知バーに広告を出す機能、勝手にホーム画面にアイコンを設置する機能、勝手にブックマークを付ける機能などが該当する。

 secroidでは、アプリの名称をキーワードで検索したり、カテゴリーからたどってリスク情報を参照できる。また、トップページでは「注意リスト」といったタブもあり、「DANGER」判定のアプリを中心にリストアップしている。

 各アプリの詳細ページでは5段階のリスクレベルに加えて、例えば「連絡先を外部に送信している可能性」「GPSでの詳細な位置情報(精度:10m~300m)」「ユーザ識別情報を外部に送信している」といった具合に、具体的に「このアプリに潜むリスク」がリストアップされている。さらに各項目をクリックすれば、その目的や送信先(サイト名/ドメイン名、国)も解析されている場合は細かく表示される。

アプリごとの詳細情報ページの例。5段階のランクだけではなく、

 ネットエージェントでは、悪意あるスマートフォンアプリによって電話帳などの個人情報がユーザーの意志とは無関係に取得されてしまう事件が相次いで発生していることから、人気のAndroidアプリがどのようなリスクを持っているのかを客観的に判定するエンジンを開発し、ユーザーに分かりやすく提示するサイトを公開したという。

 ただし同社では、判定されたリスクレベルが高いからといって、必ずしも危険なアプリということではないと説明している。実際、大手ベンダーが開発・提供し、悪意があるとは思えないアプリの中にも、アプリの機能・目的上、スマートフォンの各種データにアクセスしたり、個人情報データを扱うといったことから、「DANGER」判定になっているアプリも数多い。ユーザーは、そうしたスマートフォンならではの高機能・多機能、利便性はリスクと背中合わせであることを意識する必要がある。

 逆に、連絡先などのデータを外部に送信し、そうして集めた約76万件の情報が外部から参照できる状態になっていたことが問題になったアプリ「全国電話帳」は、「DANGER」ではなく「HIGH」の判定だ。最終的にアプリをインストールするかどうかは、secroidの5段階の判定結果に加えて、詳細情報ページにあるデータの使用目的や送信先の信頼性、さらにはアプリ開発者の信頼性なども含めて判断しなければならないだろう。

 secroidは現在、ベータ版として公開中。ネットエージェントでは、例えばホワイトリスト機能の検討なども含め、改良を行っていく考えだ。

 誰でも利用できるsecroidのほか、アプリのレビューサイトを運営する企業などを対象に、より詳細な解析結果を参照できるサービスも用意しており、現時点で4社に提供中だという。レビュー執筆者などのスタッフが、具体的にアプリのどのライブラリやコード部分にリスクがあるかといった情報まで参照できるとしている。提供は個別対応となるが、こちらも無料。


関連情報


(永沢 茂)

2012/10/11 20:08