エフセキュアブログの夏季特別企画、座談会「セキュリティの最前線」の二回目は、モバイルに焦点を当てていきます。
メタ・アソシエイツ代表の高間剛典氏、エフセキュアのラボのセキュリティ・アドバイザリーであるGoh Su Gim、プロダクトグループの冨安洋介から最新の状況について解説します。(以下、敬称略)
Su Gim: 今や誰もがスマートフォンを持っている時代になりましたが、その中でもAndroidの脆弱性について多くの指摘がなされています。その中でも最も頻繁に現れているのが、PUA (Potentially Unwanted Application)と呼ばれるもので、グレーな部分の多いアプリケーションです。PUAは、合法的で、それ自体が悪意を持ったアプリケーションではありませんが、ユーザーが使用しているバックグラウンドで情報が詐取され売買されるケースが生じています。このようなグレーなPUAを検出しブロックするというのはセキュリティ・ベンダーにとっても難しい問題であり、ユーザ側に意識向上を働きかけ、アプリをダウンロードする際に注意を呼びかけるしかありません。
高間: PUAについては、まだ日本語の名称が付いていない状況ですが、日本でも「プライバシー侵害アプリ」として二年ほど前から問題が議論されていて、総務省の「スマートフォン プライバシー イニシアティブ」で、特にユーザーのプライバシー保護の観点から検討されています。アプリストアとして、Appleではアプリの挙動について事前に厳格な審査があるのでこのような問題が発生しにくくなっていますが、Androidの場合は比較的緩い状態で運営されているため、様々なアプリがあります。Androidユーザーは知っていると思いますが、アプリをダウンロード、インストールする際に、どのような動作をするアプリであるか説明があり、それに同意してクリックするという形式を取っていますが、そのとおりに動作するものであるかどうか説明が必ずしも適切ではないものがあるとの指摘もあります。説明では記載されていない情報を抜き取るアプリも現れていることから、同意を取っていることがまず虚偽である場合があり、さらに説明が敢えてわかりにくくユーザーが理解できないというケースもあります。
Androidの場合、ユーザーの設定によって、GoogleのPlayストア以外のマーケットからもダウンロード可能になってしまうため、ユーザーが知らずにサードパーティの不審なマーケットからアプリをダウンロードし、そこからマルウェアに感染する危険があります。また中国ではGoogleが市場から手を引いていますが、それでもAndroidが普及しているため、サードパーティの運営するアプリ市場が多数あります。
冨安: PUAと似たケースですが、悪意のある動作だけでなくまったく何もしないアプリというものも存在します。具体的には「電池を長持ちさせる」などの謳い文句で実は何も効果がないアプリを100円、200円といった安価な値段で販売しているものです。意味のないものにお金を支払ってしまうのです。こうした観点からもモバイルのアプリには十分ご注意ください。
メタ・アソシエイツ代表の高間剛典氏、エフセキュアのラボのセキュリティ・アドバイザリーであるGoh Su Gim、プロダクトグループの冨安洋介から最新の状況について解説します。(以下、敬称略)
Su Gim: 今や誰もがスマートフォンを持っている時代になりましたが、その中でもAndroidの脆弱性について多くの指摘がなされています。その中でも最も頻繁に現れているのが、PUA (Potentially Unwanted Application)と呼ばれるもので、グレーな部分の多いアプリケーションです。PUAは、合法的で、それ自体が悪意を持ったアプリケーションではありませんが、ユーザーが使用しているバックグラウンドで情報が詐取され売買されるケースが生じています。このようなグレーなPUAを検出しブロックするというのはセキュリティ・ベンダーにとっても難しい問題であり、ユーザ側に意識向上を働きかけ、アプリをダウンロードする際に注意を呼びかけるしかありません。
高間: PUAについては、まだ日本語の名称が付いていない状況ですが、日本でも「プライバシー侵害アプリ」として二年ほど前から問題が議論されていて、総務省の「スマートフォン プライバシー イニシアティブ」で、特にユーザーのプライバシー保護の観点から検討されています。アプリストアとして、Appleではアプリの挙動について事前に厳格な審査があるのでこのような問題が発生しにくくなっていますが、Androidの場合は比較的緩い状態で運営されているため、様々なアプリがあります。Androidユーザーは知っていると思いますが、アプリをダウンロード、インストールする際に、どのような動作をするアプリであるか説明があり、それに同意してクリックするという形式を取っていますが、そのとおりに動作するものであるかどうか説明が必ずしも適切ではないものがあるとの指摘もあります。説明では記載されていない情報を抜き取るアプリも現れていることから、同意を取っていることがまず虚偽である場合があり、さらに説明が敢えてわかりにくくユーザーが理解できないというケースもあります。
Androidの場合、ユーザーの設定によって、GoogleのPlayストア以外のマーケットからもダウンロード可能になってしまうため、ユーザーが知らずにサードパーティの不審なマーケットからアプリをダウンロードし、そこからマルウェアに感染する危険があります。また中国ではGoogleが市場から手を引いていますが、それでもAndroidが普及しているため、サードパーティの運営するアプリ市場が多数あります。
冨安: PUAと似たケースですが、悪意のある動作だけでなくまったく何もしないアプリというものも存在します。具体的には「電池を長持ちさせる」などの謳い文句で実は何も効果がないアプリを100円、200円といった安価な値段で販売しているものです。意味のないものにお金を支払ってしまうのです。こうした観点からもモバイルのアプリには十分ご注意ください。
