UPDATE AppleとGoogleの両社が、「Instagram」ユーザーのパスワードを盗んでいたアプリを削除した。
「Who Viewed Your Profile - InstaAgent」は、自分のInstagramアカウントを参照したユーザーを確認できるアプリとして提供されていたが。実際には、Instagramにログインしたユーザーのアカウント認証情報を取得していた。取得したこれらの認証情報を、暗号化されない形式でサードパーティーサーバにアップロードしていたと、この悪質な活動を発見したPeppersoft開発者のDavid Layer-Reiss氏はツイートしている。
Googleは以前、徹底的な審査を実施せずに「Google Play」ストアに悪質なアプリを掲載したとして批判されたことがあるが、今回のケースではAppleもこのアプリを正しく審査できなかった。このことは、巧妙な悪質アプリはAppleの厳格なガイドラインさえもかいくぐることが可能で、ユーザーはInstaAgentのような人気の高いモバイルアプリであっても、それをダウンロードすることによって危険にさらされることを示している。
MacRumorsによると、「Who Viewed Your Profile - InstaAgent」は米国ではそこまで人気は高くなかったものの、AppleとGoogleそれぞれのアプリストアから削除されるまでに英国とカナダでは無料アプリ第1位の人気を獲得していたという。Google Playストアでは、50万人ものユーザーがこのアプリをダウンロードした可能性がある。AppleのApp Storeでも同程度のダウンロード件数があった可能性があるとLayer-Reiss氏は推測している。
「Who Viewed Your Profile - InstaAgent」をインストールしたユーザーは、直ちに削除するとともに、自分のInstagramパスワードを変更する必要がある。同じパスワードを他のサイトでも使用している場合は、それも変更する必要がある。パスワードがアップロードされていたリモートサーバinstagram.zunamedia.comは、疑わしいフィッシングサイトとして特定されているため、これは強く推奨される対策だ。
Google PlayストアとAppleの「App Store」を検索すると、Instagramで自分のアカウントをフォローしている人を確認できるアプリはほかにも見つかる。しかし、Instagramによると、そうしたアプリには注意が必要だという。
Instagramの広報担当者は、「この種のサードパーティーアプリは当社のプラットフォームガイドラインに違反しており、ユーザーのアカウントに不適切な方法でアクセスしようとしている可能性が高い」と述べた。「このようなサードパーティーアプリをインストールしないことを推奨する。既にこのアプリをダウンロードしているユーザーは、これを削除するとともに、自身のパスワードを変更する必要がある」(Instagramの広報担当者)
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス