Google Playで詐欺アプリ被害が拡大 - App Storeとのコントラストが鮮明に

Android端末で「ワンクリック詐欺」が増加しているそうだ。昨年あたりまでは、怪しげなWebサイトにたどりつき不用意にアプリをインストールしなければ被害には遭いにくかったが、最近では公式アプリストア「Google Play」にまで、ユーザを詐欺に陥れる悪質なアプリ(以下、詐欺アプリ)が進出しているという。

4月に公開されたシマンテック従業員のブログエントリ「Google Play にも出現した日本のワンクリック詐欺」によれば、詐欺アプリはGoogle Playでキーワード検索すると発見できるという。しかもインストール時に要求するのは「ネットワーク通信」の許可のみ、アプリによってはまったく許可を求めないものあるとのこと。

試しに、Google Playで「(アダルトな)動画」に関連するキーワードで検索してみたところ、すぐにいくつかヒットした。前掲のブログによれば、ワンクリック詐欺の常套手段として「ユーザーに詐欺アダルトサイトを開かせるように誘い、詐欺に陥れるための道具」としてアプリを活用するそうだ。アクセス許可を確認したところ、「このアプリケーションは実行の際に特別な権限を必要としません」とあるので、パターンに一致する。

念のためSIMを取り外したAndroid端末に怪しいアプリをインストールし起動してみると、Webブラウザが開きアダルトサイトに誘導された。動画はいくつかのカテゴリに分類され(ご想像にお任せする)、どれを選んでも最終的には「コンテンツの視聴に必要なアプリ」のインストールを促す画面にたどりつく。つまり、Google Playでは配布が認められないアプリをインストールさせるための"撒き餌"というわけだ。

誘導されたサイトからダウンロードするアプリは、端末のアプリケーションに関する設定を「提供元不明のアプリを許可する」に変更しなければインストールできない。アプリが電話番号やメールアドレスといった個人情報へのアクセス許可を求め、それを認めてしまえば、詐欺被害にあう可能性は一気に高まる。

IPアドレスなどを手がかりに別途調査したところ、今回のケースは実績ある(?)アダルト動画サービスということが判明したが、多くのユーザはサイトに書かれた内容だけで判断してしまうことだろう。ましてや、衝動に駆られた男性に冷静な判断能力は期待できない。

先週公開された新しいブログエントリ「情報窃盗アプリのダウンロードを仕向ける Google Play 上の日本語ワンクリック詐欺」では、2013年1月から700にもおよぶ詐欺アプリがGoogle Playで公開されていたことを明らかにしている。詐欺アプリはすぐに削除されるが、すぐに別のアカウントで同様の詐欺アプリを公開するという、イタチごっこが続けられているというのだ。

運営元のGoogleも手をこまねいているわけではなく、たびたびGoogle Playの審査ポリシーを強化しており、今年4月にはGoogle Playからダウンロードしたアプリのアップデートを外部サイトで提供することを禁じるなど、開発者向けポリシーの改訂も実施されている。しかし、冒頭に挙げたブログにあるとおり、詐欺アプリが現在も横行していることは事実だ。

こういった現象は、Google PlayというよりAndroidプラットフォームの事情に起因している。Androidの場合、多くのハードウェアベンダーが参加しており通信キャリアとの関係もあるため、アプリの配布をGoogle Play1箇所に限定することがビジネス上難しいからだ。しかも、Google Playでは人の手による事前審査は基本的に行われず、アプリ公開後に機械的にスキャンしてポリシー違反のアプリを削除する、という手法を採用している。

Googleと対照的なアプローチを取るのは、ほかでもないAppleだ。同社が運営する「App Store」では、開発者から提出されたアプリを人の手で念入りにチェックし、審査を通過したものでなければ公開されない。アプリは「App Store」以外での配布は認めず、ユーザには提供元不明のアプリをインストールする手段を与えない。

Google PlayとApp Storeを比較するとき、「自由度」という言葉がたびたび使用されるが、これは開発者にとっての自由度という意味合いが大きい。エンドユーザ、特にセキュリティの知識に乏しい層にとっては、その「自由度」が逆に危険を招いていないか。自己防衛ならばセキュリティツールという「盾」がある、という意見もあるだろうが、軽快さが身上のスマートフォンには重すぎる、そう思えてならないのだが……

(提供：iPad iPhone Wire)