不正Androidアプリの見分け方~権限をよく確認、開発者名もググること


 人気アプリ/コンテンツの名称やアイコンを使った「○○ the Movie」といった不正アプリ群がアプリマーケット「Google Play」で公開されていたことが判明したのを受け、独立行政法人情報処理推進機構(IPA)が7日、「あなたを狙うスマホアプリに要注意!」と題した注意喚起を発表した。それらの特徴を説明するとともに、こうした不正アプリをインストールしてしまわないための対策を紹介している。

 発見されたアプリ群は、人気アプリ/コンテンツの関連動画を再生するアプリと見せかけ、その裏でスマートフォンの端末情報やアドレス帳の登録情報を外部サーバーに送信するという手口。アプリの名称は、例えば「うまい棒をつくろう! the Movie」「チャリ走-the Movie」「けいおん-K-ON!動画」などがあるが、これらはアプリマーケットに記載されている名称であり、インストール後はそれぞれ「youtube 動画まとめ」「ようつべ動画まとめ」「アニメ動画」という異なった名称で表示される点も特徴的だとしている。IPAでリストアップしている16種のほか、同様の動作をするアプリが他にも確認されており、Google Playには一時、30種類以上が存在していたという。

 IPAでアプリの1つを簡易解析した結果、これをインストールして実行すると、アプリがまずandroid_idと端末の電話番号を特定のサーバーへ送信するようになっており、送信に成功すると、アドレス帳に登録されている名前、電話番号、メールアドレスをすべて送信。その後、サーバーから動画を取得して再生する仕掛けとなっていた。

不正なアプリが情報を流出させるイメージ

 今回、IPAでは、同アプリをGoogle Playからダウンロードする際に表示される画面も紹介。アプリが必要とする権限(パーミッション)の確認画面が表示され、「同意してダウンロード」または「インストール」を選ぶと、表示された権限の選択に従ってアプリが端末内の情報にアクセスしたり、動作することを許可してしまう仕組みであることを説明している。

ダウンロード時の権限確認画面の例アプリに対して権限を許可するイメージ

 今回発見された不正アプリが必要とする権限の種類と、その権限を許可した場合に可能となる主な動作は以下の通り。

1)電話発信
端末に付与されている電話番号や末識別番号、SIM情報などをアプリが読み取ることができる。電話の着信状態などの情報も読み取ることができる

2)個人情報
アドレス帳など連絡先データをアプリが読み取ることができる

3)ネットワーク通信
インターネットなどにある外部のサーバーとアプリが自由に通信できる

 今回問題となったthe Movieアプリ群以外にも、IPAではこれまでにも以下のような不正なアプリを確認しており、「いずれのアプリも、インストール時に必要以上の権限を取得しようとしている」と指摘する。なお、すでにインストールしたアプリがどのような権限を許可されているかは、Androidのアプリケーション管理メニューから確認できる。

ワンクリック請求アプリの例ボット型ウイルスの例不正請求アプリの例

 IPAではさらに、昨年8月に発表した「スマートフォンを安全に使用するための六箇条」をあらためて紹介。

  • スマートフォンをアップデートする
  • スマートフォンにおける改造行為を行わない
  • 信頼できる場所からアプリケーション(アプリ)をインストールする
  • アンドロイド端末では、アプリをインストールする前に、アクセス許可を確認する
  • セキュリティソフトを導入する
  • スマートフォンを小さなパソコンと考え、パソコンと同様に管理する

 特に今回は、アプリをインストールするときに表示される権限をよく確認するよう促しており、「例えば、動画再生や画像表示アプリなのに、電話を発信する権限を求めてくる、カメラ機能が必要なさそうなアプリなのに、写真を撮る権限を求めてくるような場合は、怪しいアプリと言える」としている。

権限の確認画面

 ただし、「一見必要なさそうな権限の許可を求めていても、こうした権限を正当に必要とするアプリもある。確実に不正なアプリであると判断することは難しいのが実情」だとして、「六箇条」にもあるセキュリティソフトによるスキャンや、後述する「一歩踏み込んだおすすめの対策」での情報収集による総合的な判断も求められるという。

 そのおすすめの対策としてIPAでは今回、「アプリをインストールする際の情報収集のコツ」を解説している。これは、アプリを選ぶ際に、画面に記載されている重要な情報を可能な限り読み取るというもので、悪い評判や噂がある場合はひとまずインストールを控えることを勧めている。

 インストール前に行う情報収集の具体例としては、「レビュー記事に悪い評判は書かれていないか」「アプリ開発者が他に公開しているアプリの評判に、悪いものがないか」「開発者やアプリ名をインターネットで検索して、悪い評判や噂などはないか 」といったものを挙げている。

アプリに関する情報収集の例




関連情報


(永沢 茂)

2012/5/8 11:00