アンドロイドアプリ情報漏洩事故の多発は当然!?のカラクリ
報じる10月31日付日経新聞。
なぜそうしたアプリがなくならないのか? なぜ被害者が消えないのか?
その理由はAndroidの特徴と、急速に普及しすぎたことの弊害だと考えられる。
Androidは「誰も守ってくれない」
iPhoneは、App Storeからしかアプリが入手できない。App Storeにアプリを登録するためには、専用の開発環境を購入しなければならず、アップルの審査を通過しなくてはならないという壁がある。ところが、Androidアプリの開発環境は無料で用意でき、登録にも基本的に審査はない。公開後に問題があれば削除されるという程度だ。
つまり、Androidの公式マーケットである「Google Play」で公開されているアプリでも、安全性は基本的に誰も保障してくれていないということだ。さらにAndroidの場合、マーケットに登録しなくてもアプリを配布することはできてしまう。自分のブログどころか、適当なファイルアップローダーにアプリを置いて、掲示板に匿名で宣伝を書き込むこともできてしまう。
このように、AndroidはiOSに比べて圧倒的に「怪しいモノが出回る」余地がある状態なのだ。しかも怪しい動きをするからといって、ウィルスだとは限らない。単純によくない動きをするアプリをわざわざユーザーが招き入れていることが多く、ウィルス対策アプリ等では対応しきれないという難しい状態でもある。
ユーザー知識が追いつかないままの普及
Androidは非常に急速に普及した。各キャリアからフィーチャーフォンの新端末がほとんど登場しなかったこともあり、大してガジェットに興味のない人までが持つようになり、気軽にアプリを利用するようになった。個人情報流出騒動の多くは、ユーザーの知識不足にも起因している。
どんな知識が不足しているのかといえば、先に述べたように誰からも守られていない環境にあるという自覚と、アプリをインストールする時に何を確認すべきかという技術的な知識だろう。
有名な「the Movie」事件は、ゲーム動画という権利的に問題のあるものを勝手に使ったアプリだった。ほかにも、
・無料で音楽を聴けるアプリ
・ネット上に散在する画像を勝手に収集してまとめたアプリ
・マンガ本をスキャンして無料で読めるようにしてしまったアプリ
など、あからさまに怪しいものがある。これらはおもしろがって公開しているアンダーグラウンド的なものもあるが、「タダで〜できる」というような誘惑に弱い層を狙った、釣り餌であることも多いのだ。
この手のものを利用して個人情報を抜かれたというのは、危ない橋を自ら渡って落ちた、という話でしかない。しかし、誰も守ってくれていない自覚があれば、こういう怪しいものには手を出さなかったという人も多いのではないだろうか。
もちろん、あからさまに怪しいわけではないアプリもあった。たとえば10月に話題になった「全国電話帳」の場合、公開電話帳の利用アプリという名目であり、制作者的には特に悪意があって抜いていたわけではないようだが、結果的には個人情報が抜かれていた(http://togetter.com/li/385334)。
しかしこれも、きちんと事前に察知する方法はあった。それが「アプリの要求する権限」だ。これを読むことができないのが、技術的な知識の不足だ。
アプリインストール時にチェックすべきポイント
個人情報流出アプリの多くは、堂々と「個人情報を読む」と宣言している。たとえば「the Movie」シリーズで要求された権限は「ネットワーク通信」「個人情報」「電話/通話」だった(http://www.symantec.com/connect/blogs/android-movie)。動画を見るアプリがなぜ個人情報を要求しているのか、と一瞬でも考えれば怪しいアプリであることは見抜けたはずだ。
同じように、位置情報や電話の利用状況なども読み取る時には最初から宣言している。知らないうちに抜かれたのではない。知ろうとしていなかっただけだ。アプリ側としては堂々と「個人情報をよこせ」と要求し、ユーザーが承認したわけで、考えようによっては「不正な個人情報抜き取り」とは言えないかもしれない。
アプリの動作などという難しいことはわからない、というのはズボラさの言い訳だろう。アプリインストール時には「同意してダウンロード」とある。何に同意しているのかを考えずにボタンを押しているならば、契約書の中身も見ずに判をついているのと同じだ。問題になる部分はごく簡単な言葉で書かれているから、ぜひしっかり読んでほしい。
(文=エースラッシュ)
要求しているようなものもある