Android 特集・連載

【Androidスマートフォン セキュリティ対策-第3回-】

絶対に確認したい「アクセス許可」の項目と具体的な対策とは…!?

文●mobileASCII編集部

2012年08月24日 18時00分

  • このエントリーをはてなブックマークに追加

第2回では、「アクセス許可」を悪用するマルウェアの実態と、「アクセス許可」の項目を確認することでかなりのリスクを回避できることを説明した。しかし一方で、「アクセス許可」の確認方法や表示自体が非常にわかりづらく、ほとんどのユーザーには〝どの項目にどんなリスクがあるか〟が把握できていないという現状もある。第3回では、インストールする際に確認したい「アクセス許可」の項目と、具体的な確認方法を紹介していこう。

絶対に確認したい「アクセス許可」の項目と具体的な対策とは…!?

■これだけは気をつけたい
■「アクセス許可」の項目

 実際にアプリをインストールする際に、「アクセス許可」のどのような項目に注意すればよいのだろうか。これまでに発見されているマルウェアの事例や山城氏の解説、要求される権限の頻度などを考慮して、編集部で抽出したのが以下の項目だ。

●現在地
【精細な位置情報(GPS)】

GPSによる詳細な位置情報の提供を許可。自分の位置を特定され、悪用される可能性がある。

●個人情報
【機密ログ データの読み取り】

許可すると個人情報や機密情報も含め、端末内にある全般的な情報へアクセスされてしまう。「アプリの不具合報告などに使われるケースもあるが、他のアプリ内に保存されているパスワードなどのデータまで読み取られる可能性もあり、あまりおすすめできない」(山城氏)という。

【連絡先データの読み取り】
端末に保存されているすべての連絡先データの読み取りを許可する。『the Movie』シリーズではこのアクセス許可が悪用され、数百万人分ともいわれる個人情報が流出している。

●電話/通話
【端末のステータスと ID の読み取り】

許可すると端末の電話番号やシリアル番号、Gmailのアドレスなどが特定できる状態に。高額な架空請求を行うアダルト動画アプリの事件でも、この項目が悪用された。マルウェアにこのような情報を悪用された場合、「電話番号やメールアドレスを変えるしか手がない」(山城氏)という。

●ストレージ
【USB ストレージのコンテンツの変更/削除、SD カードのコンテンツの変更/削除】

許可すると、SDカード内にある情報を読み取られたり、勝手に書き換えられてしまう可能性がある。実際にSDカード内の画像をすべて書き換えるマルウェアも出現している。

●システム ツール
【実行中のアプリの取得】

許可すると、利用中のまたは最近実行したタスクの情報取得が可能に。他のアプリの非公開情報が読み取られる可能性がある。

このほかにも、レアなケースではあるが「アプリケーションを直接インストール」「ブラウザの履歴とブックマークを読み取る」といった「アクセス許可」を求めるものにも注意した方がいいだろう。

■問題は収集した情報がどう扱われているか
■〝グレーゾーン〟のアプリも多い

 ただし、これらはあくまでも編集部で判断した、現時点での重要項目であり、判断の参考材料であることを念頭に置いてほしい。たとえばこのほかに、「SMSの送信許可」を求めるなどの項目にも注意が必要だが、プレミアムSMSによる課金サービスが行われていない日本では、金銭的な被害に遭う可能性は少ないので省いている。

 また一方で、「たとえばアプリ開発者の意図ではなく、無料アプリに入っている広告がターゲティング(利用者によって表示する広告を変え、より効率的な広告効果を狙うこと)のために位置情報利用している場合もあり、どの機能や情報にアクセスしているから危ないと一概にいうことはできない」(山城氏)という現実もある。
 さらに、これまでケータイに公式コンテンツを提供してきたコンテンツプロバイダでは、ケータイで利用者の識別のために取得していたUID(ユーザーID)の代わりに、「端末のステータスとIDの読み取り」を要求するケースも多い。

 実際「Google Play」にも、このような「アクセス許可」を求めるアプリはかなり多く、しかも山城氏の調査では、GPS機能への「アクセス許可」を求めるアプリの数は、GPS機能との連携が必然的な「地図」や「旅行」などのジャンルと、機能と連携しているとは考えにくいその他のジャンル(たとえばエンタメなど)とで、大きく変わらないという結果も出ているという。だが、「収集した情報が不正に使用されなければマルウェアとはいえない」(山城氏)ため、これらの「アクセス許可」を求めるアプリは〝グレーゾーン〟ではあっても、すべてがマルウェアというわけではないのだ。

 とはいえアプリ開発者に、どのように使われるかわからない個人情報を委ねてしまうこと自体に、大きなリスクがあることも確かだ。このようなリスクを冒したくないのなら、やはり先述の「アクセス許可」の項目に対しては一定の注意は不可欠だ。
 特に「心理テストやゲームなのに『連絡先データの読み取り』を要求するなど、アプリの機能と一致しない「アクセス許可」を求めるアプリには細心の注意を払ったほうがいい」(山城氏)という。

<< PREV 1 2 NEXT >>

mobileASCII.jp TOPページへ

mobile ASCII

Access Rankingアクセスランキング

アプリ週間ランキング

アプリランキングをもっと見る

for Biginnersスマホ入門

スマホからスマホへ機種変更する前に読む! 各種アプリ&サービスのデータ移行・引き継ぎ方法

「Xperia A」「GALAXY S4」へ機種変更したらチェック! ケータイとの違い&スマホの使い方をマスターしよう

「Xperia A」ほか夏スマホ購入前にチェック! スマホへの機種変更&乗り換えQ&A

スマホのトラブル解決ガイド2013

スマホ定番アプリ活用術!

連載:スルッとわかる! 高速通信規格「LTE」

おサイフケータイ乗換案内!

Linkリンク