個人情報を抜き取るアプリの被害に遭わないよう対策を講じよう

この連載でもAndroidには少々危ないアプリがあることは何度か紹介してきた。とうとう4月には、日本国内で作成されたと見られる、日本人から個人情報をごっそりと収集していた悪質なアプリが大量に発見された。

これまでは「こういう危ないアプリが見つかった」といったニュースが多かったのに対し、今回のニュースで衝撃的だったのは少なくとも6万人以上、最大27万人が実際に被害に遭っているらしいということだ。しかも、明らかに日本人がターゲットなのだ。

今回見つかった問題のアプリの多くは「『人気ゲーム名・アプリ名・アニメ名など』＋『 the movie』」というタイトルだ。タイトルからは、ゲームのプレイ動画やアプリの使い方の動画が見られるアプリであることが連想され、実際、ほぼそういう内容だったようだ。しかしその裏では、インストールされたスマートフォンのアドレス帳のデータをゴッソリと送信していたというのだから、恐ろしい。

これらのアプリ類はすでにGoogle Playから削除されているものの、仕組み上、完全に撲滅することはできない。Androidは無料で、誰でも簡単にアプリを公開できるのが魅力の1つでもあるし、Google側が厳しい制限をかけているわけではないからだ。つまり、自衛するしかないということを改めて肝に銘じよう。

不審な権限と無名の作者に用心

被害に遭わないための具体策としては、これまでにも紹介してきた「セキュリティアプリの導入」、「インストール・更新時の権限確認」、「ネットやユーザーコメントでの評判確認」がある。

権限確認は、一般ユーザーにそこまで要求するのは酷な気もするが、「このアプリの動きにそれは必要か?」ということを考えるしかない。例えば、動画をストリーミングで流すなら、インターネットにアクセスする権限は必要だが、アドレス帳にアクセスする必要はない。

では、アドレス帳にアクセスするアプリだけを弾いておけばいいのかと言えば、そうではないところが難しい。アカウント情報やアドレス帳といった個人情報を盗むほか、カメラを制御して勝手に利用者の顔を撮影したり、GPSで位置情報を取得したりと、そうした情報収集を専門にするアプリと、インターネットアクセスをするだけのアプリが連携していることもあるのだ。したがって、必要性がないのにインターネットアクセスを要求するアプリも要注意だと思うしかない。

ここまで来ると「じゃあ、どんなアプリなら大丈夫なの?」と不安になってくるだろう。実際、「絶対大丈夫」と言えるのは、大手メーカー製のアプリくらいだ。また、すでにPC向けのツールなどで名前が売れている作者も一応安心できそうだ。要するに、配信している「人」の信頼性が決め手になってくるわけだ。なかには、大手メーカー製でもインターネットアクセスを要求される意味がわからないアプリもあるが、おそらくそれはマーケティングのためだろう。ただしその場合、万が一問題が起こったとしても、そのメーカーが責任を問われるだろう。つまり、責任の所在が明確かどうかが重要というわけだ。

「タダで○○できる」系は大体危ない

「信頼できる作り手のアプリだけを使う」というやり方では、選べるアプリが少なくなってしまう。だから、知らない作者のことは知る努力をしよう。「どんなツールを作っている人なのか」「これまでどういう活動をしている企業なのか」などを調べると、見えてくるものもある。

例えば、今回話題になった「the movie」アプリは、「桃太郎電鉄」や「けいおん!」といった人気コンテンツの動画が無料で見られることをウリにしていた。これが正当なアプリならば、「桃太郎電鉄」や「けいおん!」の正式な権利者側からも「こういうアプリができました」という紹介があるはず。それがないということは、要するに勝手に他人の持ち物で何かをしようとしているということだ。

ここで、「誰でも簡単に動画が見られるようにしてくれる親切な人」などと考えてはいけない。「他人の著作物で何をやっているんだ、怪しいヤツめ」というのが正しい反応だ。小さな機能を提供してくれるアプリは別として、本来は有料のコンテンツ(音楽、動画、漫画など)を無料にするといったアプリが権利者以外の手から発信されることはないと考えよう。

現在のAndroidユーザーは「新機種がスマートフォンばかりだから買ってみました」といったライトユーザーが非常に多い。それだけ知識も浅いと考えられ、狙われる対象であるのも確かだ。しかし、技術的な知識がなくても怪しさを見破ることはできる。ぜひ、細心の注意を払いつつ、アプリ選びをしてほしい。