ニュース

個人情報を抜く危険な「チャット友達募集掲示板アプリ」、マカフィーが警告

 マカフィー株式会社は1月31日、LINEやカカオトークなどの利用者を対象にした「友達募集掲示板」「ID掲示板」と呼ばれる非公式アプリの中に、ユーザーの電話番号やGoogleアカウント名などの情報も密かに収集するAndroid向けアプリをGoogle Play上で確認したとして、注意を促した。

 マカフィーでは、LINEやカカオトークなどのメッセージングアプリの利用者を対象として、見知らぬユーザーとチャット友達になるための「友達募集掲示板」「ID掲示板」と呼ばれる非公式なウェブサイトやアプリが多数運営されていると指摘。こうしたサイトやアプリは、電話番号やメールアドレスを知らせることなく、匿名の「ID」を広く公開することで、不特定多数のユーザーとチャットなどができるようになる一方、悪意のある相手からのアプローチにより犯罪に巻き込まれるケースも報告されるなど、危険が潜んでいる。

 マカフィーが確認したアプリは、各種メッセージングサービスのID公開や実際のチャット機能を持つ一方で、ユーザーの電話番号やGoogleアカウント名といった個人情報も密かに収集しているという。

個人情報を密かに外部送信するチャット友達募集掲示板アプリ(McAfee Blogより)

 あるアプリでは、簡単なプロフィール情報と、LINE、カカオトーク、mixi、Skypeの4種類のIDを登録でき、これらの情報が「友達募集一覧」に掲載され、他のユーザーとの交流が行える。しかし、アプリ起動時やプロフィール登録・更新時には密かに、電話番号やGmailメールアドレス、IMEI、SIMシリアル番号がアプリ開発者のサーバーに送信されているという。

 マカフィーでは、特に電話番号とメールアドレスが各種サービスのIDやプロフィール情報、アプリ上でのチャット内容と紐付けられて取得・記録されることは、それぞれがばらばらに記録されることよりも大きな危険が潜んでいると指摘。また、情報が保存されたサーバーやアプリ自体ののセキュリティ問題によりデータが漏えいする可能性も否定できず、悪用される危険もあるという。

チャット友達募集画面とプロフィール設定画面

 これらのアプリの中は、ユーザーインターフェイスやアプリの説明ページが日本語になっているものもあるが、不自然な日本語の使用や韓国語でのユーザーの発言が見られたり、アプリの通信先サーバーのIPアドレスが韓国のものであることなどから、韓国のアプリ開発者によるものか、またはその改変ではないかと推測している。

 また、アプリ説明ページの内容自体が、既存の同種の日本語アプリの説明を勝手に流用しているようにも見え、たとえば利用規約についてはアプリ起動時のダイアログで確認とあるものの、実際はそのような処理は実装されていないなど、適正に運用されているのかも不明だという。

危険なチャト友達募集掲示板の1つ

 マカフィーでは、友達募集掲示板やID掲示板の使用自体が危険と言われているのにも加え、さらにこうした不審なアプリを使用すると、個人情報流出の危険にもさらされると指摘。アプリのインストール時にはそれが要求する権限を注意深く確認し、個人情報を脅かす機能が要求されている場合には、そのアプリが信頼できる開発者によるものかどうかを確認すべきだとしている。

 マカフィーのモバイル向けセキュリティアプリ「McAfee Mobile Security」では、これらの不審なアプリを「Android/ChatLeaker.F」として検出に対応している。

インストール時にアプリが要求する多数の権限

(三柳 英樹)