非公認アプリへのIDやパスワードの登録は危険、IPAが注意喚起

　独立行政法人情報処理推進機構（IPA）は1日、企業などの公式アプリではない“非公認アプリ”にIDやパスワードを登録することは危険だとして、注意を呼び掛けた。

　非公認アプリについては、App StoreやGoogle Playのような公式マーケットで、サービス事業者の公式アプリではない非公認アプリが公開されていることが2014年1月ごろにも話題となっている。こうしたアプリは、実際のサービス事業者の公式サイトに接続する仕組みを持っており、非公認とは気付かずにダウンロードしてしまったユーザーもおり、IPAでも懸念を抱いていたが、この時点では具体的な被害は確認されていなかったという。

　しかし、2014年8月には、App Store上でゲームアプリを公開していた作者が、その所有権を不正に奪われてしまうという事件が発生した。この事件では、アプリの作者が非公認アプリを使用していたことが原因となって、IDとパスワードを第三者に奪われたという。

ゲームアプリの権利が奪われる事件の概要

　被害者であるゲーム作者は、Appleが提供する開発者支援の公認アプリ「iTunes Connect」に加えて、ゲームアプリの売上管理のために、Appleではない第三者が提供する非公認の売上管理アプリを利用していた。この非公認アプリに登録したApple IDとパスワードが第三者に窃取されてしまい、情報を奪った第三者がゲーム作者になりすまし、ゲームアプリの所有権を不正に奪った（不正にアプリの譲渡手続きをした）と考えられている。

　また、被害者はゲームアプリの所有権を奪われたことで、ゲーム内でのアイテム課金による収益を受け取れなくなり、結果的に金銭的被害も受けることとなった。

　IPAでは、この事件のように、サービス事業者の公式サイトに接続する非公認アプリの場合、そのアプリに入力したIDとパスワードの情報が窃取されてしまう可能性が否定できないと指摘。IDやパスワードの情報が奪われてしまうと、本人になりすまして企業の公式サイトに不正にログインされてしまい、サイト内で確認できる個人情報やファイルなどの流出、ショッピングサイトであれば不正な売買手続きによる金銭的被害などに遭う危険性があると警告している。

　こうしたことから、IPAでは、サービスを利用する際にIDやパスワード情報が必要となる場合、基本的にはサービス事業者公認のアプリの利用を推奨すると説明。利用するアプリが不正なものかどうかを見極めることは難しいが、公認アプリについてはサービス事業名で検索してサービス事業者の公式サイトにアクセスし、サイト内のメニューや検索機能、問い合わせ窓口に連絡するなどして、アプリ提供の有無を確認するといった方法を挙げている。

　また、サービス事業者に対しては、公認アプリを望まれる人気のサービス事業者ほど、不正な非公認アプリを第三者に作成、公開されやすいという報告もあるとして、一般利用者を守る意味でも、スマートフォン向けの会員サイトを提供しているまたは提供予定のサービス事業者は、自社の公認アプリを用意することを推奨するとしている。