「Android」用アプリの動きに注意を--米セキュリティ企業が警告

　セキュリティ企業SMobile Systemsが米国時間6月22日に公開したレポート「Threat Analysis of the Android Market」によると、「Android Market」で提供されている約4万8000本のアプリケーションのうち約20％で、サードパーティー製アプリからの機密情報や個人情報へのアクセスが可能だったという。

　また、一部のアプリケーションでは、モバイルユーザーと情報をやり取りすることなく電話をかけたり、テキストメッセージを送信したりできることが判明したという。例を挙げると、アプリ全体の5％は任意の番号に電話をかけることができ、2％は高額な料金を課すプレミアム番号にユーザーの知らないうちにSMSメッセージを送信できたと、SMobileはレポートの中で結論づけている。

　SMobileは、こうしたアプリすべてが悪意あるものだとはしていないものの、悪用される可能性はあると指摘している。

　公正を期すために言えば、ユーザーは、自分でダウンロードしたアプリの挙動を把握しておく必要がある。なぜなら、アプリをダウンロードした時点で、ユーザーはそのアプリが上に述べたような動きをする許可を明示的に与えたことになるからだ。さらに、Googleによれば、Androidのアーキテクチャでは、付与された許可に応じてアプリを制限するため、悪意をもったおそれのあるアプリから被害を受ける可能性はきわめて限定されているという。

　今回のレポートでは、数十本のアプリが、既知のスパイウェアと同様に機密情報にアクセスできることが明らかになったと、SMobileで最高技術責任者（CTO）を務めるDan Hoffman氏は指摘している。こうした機密情報には、電子メールやテキストメッセージの内容、通話情報、デバイスの位置情報などが含まれる。

　「Android MarketやAppleの『App Store』（iPhoneの場合）など、知名度の高いところで提供されているからといって、特定のアプリが悪意あるものではないとか、適切な審査過程を経ていると判断できるとは限らない」と、Hoffman氏は述べた。

　アプリの開発者に関する評判を調べる適切な手段は、必ずしも存在しない。仮名を使ったり、開発会社のウェブサイトにつながる情報を公開していない開発者も多いからだ。安心してアプリをダウンロードしたいユーザー向けに、SMobileをはじめとする企業各社はスパイウェア対策ソフトを提供している。

　「アプリストアでは、既にスパイウェアアプリの提供が確認されている。これは、深刻化しつつある問題だ」（Hoffman氏）

　一方、Googleの広報担当者は23日午前、こうした主張を一蹴し、次のように述べた。

　「（SMobileの）レポートでは、Androidユーザーのデータにアクセス可能なアプリの選択について、ユーザー自身が管理できないという誤った情報を伝えている。Androidアプリは、機密情報にアクセスするためにユーザーの許可を必ず得る必要があるうえ、開発者にも身元確認のため、支払履歴のチェックを義務づけている。さらに当社も、悪意あるものと判明したアプリはすべて無効化している」