情報処理推進機構(IPA)は9月1日、スマートフォンアプリの公式マーケットが認めていないアプリへの不用意な登録に対する注意を呼びかけ、非公認アプリによる被害を防止する方法を公開した。
IPAは今年1月頃、サービス事業者の公式サイトに接続する仕組みを持つ公式マーケット非公認のアプリが登場したことに懸念を抱いていたが、当時、具体的な被害は確認されていなかった。
しかし今年8月、App Storeでゲームアプリを公開していた作者が非公認アプリを使用していたことでIDとパスワード情報を悪意ある第三者に窃取され、所有権を不正に奪われてしまうという事件が発生した。
|
App Storeでゲームアプリを公開していた作者が所有権を奪われた仕組み 資料:IPA |
IPAは、スマートフォンで企業の公式サイトにアクセスする際、悪意のある第三者が作成した不正な非公認アプリを利用した場合、登録されているIDやパスワードの情報を窃取されるおそれがあると指摘している。
ブラウザからアクセスした場合はアドレスバーの情報から不正なサイトへの接続に気付くことができるが、アプリからのアクセスした場合はアドレスバーの表示がなく、不正なサイトに接続されていたとしても気付くことができない。
|
スマートフォンで企業の公式サイトにアクセスする方法 資料:IPA |
IDやパスワードの情報が窃取されてしまうと、なりすまして企業の公式サイトに不正にログインされて、サイト内で確認できる個人情報やファイルの流出、ショッピングサイトであれば不正な売買手続きによる金銭的被害といった2次被害にあうリスクがある。
|
不正な非公認アプリによる情報窃取の例 資料:IPA |
IPAはこうした不正な非公認アプリによる被害を防止するための対策として、サービス利用時にIDやパスワード情報が必要となる場合、基本的にはサービス事業者公認のアプリを利用することを推奨している。
利用するアプリが不正なものかどうかを見極めるのは困難としたうえで、公認アプリについてそれを判断する方法として以下が紹介されている。
Googleなどの検索サイトで、当該サービス事業者名で検索してサービス事業者の公式サイトにアクセスする。
サービス事業者の公式サイト内のメニューや検索機能または問い合わせ窓口に連絡してアプリの提供有無を確認する。
