ニュース

謎の目的でGoogleアカウントIDを密かに外部送信するAndroidアプリ、38種確認

 Android端末のGoogleアカウントIDを密かに外部送信する日本語アプリが、Google Play上に多数存在していることを、マカフィー株式会社が同社公式ブログで明らかにした。パスワードが収集されるわけではないが、多くのAndroidユーザーの場合、GoogleアカウントIDはGmailアドレスとなっており、アカウントIDだけでもセキュリティリスクやプライバシーリスクがあるとして注意を呼び掛けている。

 占い系と出会い系の2つのアプリにおいて、アプリ起動直後にGoogleアカウントIDを密かにウェブサーバーに送信しているという。これらのアプリのダウンロード数はそれぞれ1万~5万回に上るとしている。

GoogleアカウントIDを収集するアプリ2種(マカフィー公式ブログより画像転載)。「McAfee Mobile Security」では、これらのアプリを「Android/ChatLeaker.D」として検出する

 これとは別に、さまざまなカテゴリーにわたる36種類のアプリでは、アプリ起動直後、GoogleアカウントIDに加えて、端末識別番号のIMEIと加入者識別番号のIMSIも密かにウェブサーバーに送信するという。一部のアプリはかなり前に公開された形跡があるほか、外国語にも対応していることもあり、これらの合計ダウンロード数は少なくとも数百万回に上るとしている。なお、これらは複数の開発者名で公開されているアプリだが、データ送信の実装コードや送信先が同じであることから、同一の開発者か関連グループによるものと、マカフィーではみている。

GoogleアカウントID、IMEI、IMSIを収集するアプリ36種(マカフィー公式ブログより画像転載)。「McAfee Mobile Security」では、これらのアプリを「Android/GaLeaker.A」として検出する

 マカフィーによると、「これらのアプリがなぜGoogleアカウントIDを密かに収集しているのか、どのように使用しているのか、どのように安全に管理しているのかは不明」。収集されたアカウントIDを利用した不正行為も今のところ確認していないというが、「どのような使用方法にせよ、これらのアプリはこの情報の自動収集の事実と利用目的について事前にユーザーに明示し、かつそれを拒否する機会をユーザーに与えるべき」と指摘している。

 Androidアプリは、インストール時に「この端末上のアカウントの検索」(GET_ACCOUNTS)権限の許可を得てアカウントID情報を収集できるようになるが、この権限は、プッシュ通知のための標準的な機構「Google Cloud Messaging:GCM」をアプリが使うためにしばしば要求されるという。そのため、ユーザーにとっては、アプリがGCMを使うためにGET_ACCOUNTS権限を要求しているのか、悪意ある用途を含め、本当にアカウントIDを取得したいために要求しているのか見分けるのは困難だという。

 なお、GET_ACCOUNTS権限が許可されても、前述のようにパスワードを取得することはできないが、アカウントIDの漏えいだけでも以下のようなリスクがあると、マカフィーでは説明。また、一般的に、このようなアカウントIDを不特定多数が閲覧可能な場所に公開することも、本当に必要な場合でない限り避けた方がいいとアドバイスしている。

  • アカウントIDが他の悪意ある人物と共有されたり、メールアドレス収集業者に販売されたりする。
  • アカウントID(メールアドレス)宛にスパムや詐欺メールが送信される。
  • ユーザーが弱いパスワードを設定していた場合、パスワードを見破られ、アカウントに不正アクセスされる。
  • アカウントIDを使用してユーザー登録を行ったSNS(例えば、Google+)やコミュニケーションサービス上での個人情報が特定される。

【追記 2013/12/18 23:00】
 マカフィーは18日付でブログを更新し、これら38種のアプリのほとんどが18日現在、Google Play上で削除または一時的に非公開とされているようだとしている。しかし、再公開されたり、別のアプリとして新規公開される可能性もあるとして、引き続き注意が必要だとしている。一方で、同様の動作をするアプリが新たに12種確認されたとして、それらのアプリのアイコン画像を紹介している(本誌12月18日付の関連記事を参照)。

(永沢 茂)