マカフィーは31日、不特定多数のユーザーとチャットができる、「友達募集掲示板」「ID掲示板」と呼ばれるAndroidアプリで、ユーザーの電話番号やGoogleアカウント名などの個人情報を密かに収集するアプリを、Google Playで複数確認したと発表した。

個人情報を密かに外部送信するチャット友達募集掲示板アプリの例(McAfee blogより)

「友達募集掲示板」「ID掲示板」アプリとは、LINEやカカオトークなど、無料通話・メッセージアプリのIDを公開して、不特定多数のユーザーからチャット友達を募る非公式アプリ。

これらアプリの中で、ユーザーの電話番号やGoogleアカウント名(Gmailのメールアドレス)といった個人情報を、ユーザーに通知せず開発者のサーバーに送信するものを確認したという。一部のアプリは、通信先サーバのIPアドレスが韓国のものであることなどから、韓国のアプリ開発者によるもの、またはその改変だと同社は推測している。

あるアプリは、LINE、Kakao、Mixi、Skypeの4種のサービスのIDを登録して友達募集一覧に公開でき、他のユーザーからのアプローチを受けたり、登録者側からアプローチしたりできる。だが、起動時およびプロフィール登録・更新時に、密かに電話番号、Gmailアドレス、IMEI(International Mobile Equipment Identity、端末識別番号)、SIMシリアル番号などがアプリ開発者のサーバに送信される。

チャット友達募集画面とプロフィール設定画面(McAfee blogより)

同社は、これら個人情報が、各種サービスのIDやプロフィール情報、アプリ上でのチャット内容と紐づけられて取得・記録されることが危険とし、例えば、情報が保存されたサーバやアプリ自体のセキュリティ問題から、外部にデータが漏洩する可能性も否定できないと指摘。合わせて、「この種の掲示板の使用が必要であれば、アプリを避け、Webサイトのみを使用するのも個人情報流出防止という点では有効かもしれない」と述べている。

インストール時にアプリが要求する権限(McAfee blogより)