1. Top » 
  2. 社会・安全 » 
  3. 不正アプリは「Google Play」の中にアリ ・・・公式サイトですら信用ならないアンドロイドスマホ!

不正アプリは「Google Play」の中にアリ ・・・公式サイトですら信用ならないアンドロイドスマホ!

<不正アプリは「Google Play」の中にアリ トレンドマイクロがサイバー犯罪の最新手口を解説>  ITmedia
トレンドマイクロは12月3日、スマホ向け脅威動向セミナーを開催。多様化・巧妙化するAndroidスマホの不正アプリの実態とその対策を解説した。
 トレンドマイクロは12月3日、サイバー犯罪者の視点に立った犯罪の手口とその対策を考える「スマートフォン向け脅威動向セミナー」を開催。同社のフォワードルッキングスレットリサーチ シニアリサーチャー林憲明氏が登壇し、多様化・巧妙化するAndroidスマートフォン向け不正アプリの現状と対策を語った。
不正アプリは「Google Play」の中に有り
 林氏は「2010年8月に世界初のAndroid向け不正アプリが発見されて以来、犯罪手口は多様化・巧妙化し、現在ではAndroid端末の正規マーケットである「Google Play」に不正アプリが混入する例が後を絶たない」と説明する。日本の場合、その実態のほとんどが出会い系業者、サクラサイト業者で、その手法としてワンクリック詐欺が多用されているという。
「Google Play」の中にも不正アプリは横行している(写真=左)。初回審査と巡回審査を回避するため、犯罪の手口はより多様かつ巧妙になっている(写真=右)
 Googleというブランドと巨大ネット企業への信頼感や、Android端末に標準搭載されている安心感もあり、ユーザーにとってGoogle Playは身近な存在。サイバー犯罪者にとっても魅力的なマーケットだが、Google側も初回審査だけでなく巡回審査で不正アプリを検出しようと努めている。しかし、「それらの審査を巧妙にかいくぐる不正アプリが横行している現状がある」と林氏は指摘する。
“アップデート”で、無害なアプリが有害アプリに変化
 審査回避の手段として使われるのが「機能限定と時間差攻撃」だと林氏は話す。機能限定とはブラウザ機能など最小限の機能のみを持たせることで、正規アプリを装うことだ。実際の詐欺行為は誘導先のサイトで実施するため、アプリ自体に不正なソースコードは見られない。また、正規アプリのソースコードをコピー&ペーストして改変したものを大量生産したり、同一の犯罪グループが異なる開発者を装うなどの手口が見られるという。
機能限定は必要最小限の権限要求をするため、一見して詐欺アプリだと見抜くことが難しい(写真=左)。無害アプリを装い、更新機能により不正アプリ導入を促す時間差攻撃などもある(写真=右)
 時間差攻撃は、ダウンロードする際は無害なアプリでも、更新機能(アップデート)によって有害アプリに変える手法のこと。有害アプリ化すると、犯罪者側のサーバーにある不正アプリを自動でプッシュ配信するなどの挙動を見せる。機能限定に比べてアプリの生存期間が長いが、加害者側が自前でサーバーを用意する必要があるなど、参入障壁も高い。機能限定は簡単に大量生産できる一方で、目視確認で不正を検出できる傾向がある。
 林氏は、「加害者にとっては一攫千金か小さな成功か選択することになるが、どちらか一方に偏るわけではない。状況に応じた使い分けが進んでいくと予測される」と説明する。
サイバー犯罪を容易にするツールキット
 林氏は今後、不正なソースコードを分散させ、ユーザー側でその分散したパーツを組み立てさせる手法が現れるのではないか、と予測する。例えば「辞書アプリ」と「言語データ」を装い、セットで使用させるケースが当てはまるという。
 また、現状ではAndroidアプリは「(CPUが理解する)バイナリコードから(人間が理解する)ソースコードへの可逆性が高く、なりすましが容易」という傾向がある。正規アプリを無断で改変して再配布する「リパッケージ」のほか、不正アプリを誰でも簡単に利用できるツールキットの存在も挙がった。
専用ツールが無料で入手できるなど、不正アプリを悪用することは容易になっている現状がある(写真=左)。ツールキットの構成要素は3つ(写真=中)。ツールキットの仕組み(写真=右)
 ツールキットは正規アプリと遠隔操作アプリの結合ツールで、2つのアプリを結合する「バインダー」、犯罪者が遠隔操作を行う「操作パネル」、被害者のスマートフォンに潜伏する「遠隔操作アプリ」の3つから構成される。林氏がこのツールの実演を行ったが、アプリ起動後も、ユーザー側では不正アプリと見抜くことは難しい。アプリ側の権限要求が増えるとユーザーが異変に気付くので、あらかじめ要求の多いアプリを選ぶ犯罪者もいるという。一方で、犯罪者側ではユーザーの連絡先情報、各種保存データ、メールの内容、位置情報などを入手できるほか、音声通話の盗聴も可能となっている。このようなサイバー犯罪が可能なツールは、現在無償で入手できるという。
不正アプリをAndroidスマートフォンで起動した画面。一見して有害なアプリと見抜くのは難しい(写真=左)。遠隔操作で連絡先などのデータを盗み取られる(写真=右)
ユーザーは最新のセキュリティアプリを
 こうした現状を踏まえ、トレンドマイクロはクラウド型アプリ評価技術「Trend Micro Mobile App Reputation」をAndroid向けの「ウイルスバスター モバイル」に採用している。クラウドで大量のアプリ検証を自動的に実施するほか、アプリを実際に動作させてチェックしたり、誘導先のサイトの危険度も数値化するなど、多角的に不正アプリの検出を行う。国内だけでなく全世界のマーケットからサンプルを収集するため、人気ゲームに便乗した不正アプリを見抜くことも可能だという。
トレンドマイクロが提供するクラウド型アプリ評価技術(写真=左)。全世界のマーケットを探索し、サンプルを収集している
 「ユーザーは、犯罪者の手口を熟知しているセキュリティベンダーを選び、最新のセキュリティアプリを導入するといい。端末のOSアップデートも怠らず、常に最新版にしておく必要もある」と林氏は話した。
************************************************************
ぼへー スマホも普及し完全にかつてのガラケーを代替するものとなっています。
にもかかわらず、アンドロイドスマホの販売戦略・広告宣伝の在り方は、相も変わらずで、非常に憤りを感じますね。
まったく「売ったモン勝ち!」「とにかく儲かりゃいいや!」というインチキな香りがプンプンと漂っています。
例えるなら~
・加入するときは「誰でも・・・、審査なし・・・」と甘いオイシイ話ばかりで保険を売りつけ、不利な事項は読めないような文字で書かれた約款を渡す「保険屋」
・「この家はキケン・・・」とか高齢者を脅して、役に立たない耐震補強工事をする「リフォーム屋」
~ののような連中と同じ香りがしますね。

<アンドロイドスマホが売れりゃ何でもいいのか!>
現在、携帯キャリアは、スマホ人気にあやかり、
「今後の端末販売は、スマホ中心!」・・・「てっとり早く儲かるスマホを主流にしてやる・・・」と考えています。
ドコモもiphone販売を始めましたが、一方ではアンドロイドスマホの販売にも力を入れています!
高齢者用にまで「らくらくスマホ」ですから・・・
 もはやスマホは、一部のコアユーザーだけが使うものではなく、“新世代の携帯電話”です。
しかし、そうであるなら・・・いままで生活に密着して使用されてきた「携帯電話」という商品について、顧客が抱いてきた商品像は、十分に配慮されないといけないでしょう。
企業がよく言うところの「お客様目線を大事に・・・」と言うのは、このような視点を持つことですよね。

<今までの「携帯電話」という商品とは別物と言える低セキュリティの「アンドロイドスマホ」( ≒ 超小型PC)を「新時代の携帯電話端末・・・」と強弁して売り付ける携帯キャリアの阿漕さよ!>
 当然、携帯電話に求められる電話としての必須仕様である「セキュリティ」についても、従来の携帯電話という商品の延長線であるなら、今までの携帯電話の延長線上の商品として、自ずとユーザーから求められる要求(期待)品質があります。
本人確認までして販売され、電話番号で個人を特定することもできる“個人情報のカタマリ”と言える「携帯電話」と「単なるPC」では、商品として求められるセキュリティレベルが、本来全く違うはずなのですが・・・
アンドロイドスマホは、その辺を全く度外視して単なるPCレベル(ないしそれ以下の)のセキュリティしかないまま販売されています。
 携帯電話を使うことで精一杯の高齢者にまで、「らくらくスマホ」とか言って、アンドロイドスマホを買わせてしまいます。 
 
 従来までの携帯電話では・・・
・「ウイルスに感染する」
・「盗聴される恐れがある」
・「ごく普通の使い方でドンドン個人情報が漏えいする」
 ~といったリスクは、普通に使用している分には、全く考えなくて良い「仕様・品質」の商品として「携帯電話」は存在してきました。
特に、日本の場合、欧米などと異なり、(スマホでない)従来の携帯電話でも「ネット・メール・ゲームをする」ことは、当たり前の状況でしたので・・・
アンドロイドスマホになったからと言って、本質的に「携帯電話」という商品で実現される機能には、それほど大きな変化はありません。

 このような状況で、ごく普通のユーザーに「アンドロイドスマホ」という“新しい携帯電話”は、“従来の携帯電話”に比べ、格段にセキュリティ面では「劣っていて、情報漏洩・盗聴リスクが高い!」ことを認識しろという方が、どだい無理というものです。
到底、お客様目線で考えているとは思えません。
携帯キャリアは、従来の携帯電話とは、商品としての位置づけが全く違う「アンドロイドスマホ」のような商品を「企業の都合」で、売り付けるのであれば、もっと「お客様目線」を意識すべきでしょう!

<「お客様目線」に立ったアンドロイドスマホの販売のあるべき姿とは!>
・「アンドロイドスマホ」は、「従来の携帯端末」とは別物であり、「携帯電話」というよりは「超小型のPC」ですよ。非常にセキュリティに脆弱で、気を付けないと大変なことになりますよ!と積極的に広報・宣伝し、販売現場でも十分なアピールをする。
・契約時に、「アンドロイドスマホ」と「従来携帯端末」とのセキュリティレベルの違いに関する同意書・確認書を提出する。
~といった対応くらいは、最低限必要でしょう。
「らくらくスマホ」とか言って、従来の「らくらくホン」とそれほど変わらないかのような誤認をさせてまで販売しては、いけませんね。
(セキュリティに関しては、多少の説明は有りますが、どれも目立たない所にヒッソリと書かれています。)

 契約時に、「アンドロイドスマホ」と「従来携帯端末」とのセキュリティレベルの違いに関する同意書・確認書を取り交わす位しないと、一般のユーザーは、アンドロイドスマホが、従来の携帯電話端末に比べ、「PCの如くセキュリティが脆弱なもの」で、その上「リスクは自己責任!」などという認識には、至らないと考えるべきでしょう。
アンドロイドスマホは、商品としては「従来の携帯端末」の延長線上にある商品ではなく、「PCの超小型版の商品である」として、ユーザーに徹底的に周知して販売するべき商品です。
現在の携帯キャリアが喧伝するように「新時代の高性能な携帯電話端末」という位置づけで販売することは、携帯電話という商品を使用してきたユーザーが「新時代の携帯電話」に期待して当然の「セキュリティ」レベルに達していない欠陥商品を売りつる「サギ」に等しい行為だと思いますね。
「個人情報」・「通話」がダダモレになる可能性が高い「電話」など、一般のユーザーにとって「電話」とは言えないでしょう。
「コスト削減」による仕様変更としても、許される範囲を超えていると思いますね。
繰り返しになりますが、アンドロイドスマホは、従来の携帯電話と違い、非常にセキュリティレベルの低い「電話機能付き超小型PCである」ということを携帯キャリアがユーザーに確実に認識させて販売すべき商品なのです。

<ガジェットオタクではない一般ユーザーにとって、アンドロイドスマホとiphoneの決定的な違いとは、「性能」「速度」云々ではなく、携帯電話として求められる「セキュリティに責任を持つセクターが有るか無いか」ということ!>
 携帯キャリアの販売手法が悪質なのは、「携帯電話」としての基本的な要求品質に達していないアンドロイドスマホという商品を、同じ「スマホ」だからと言って・・・
アンドロイドスマホに比し、セキュリティについて責任を持つAppleが存在するため、まったく別物と言えるほどにセキュリティレベルが高く、「新時代の携帯電話」としての要求品質を満たし得る「iphone」と比較し、あたかも同様な商品と誤認させて販売するという手法を取っていることです。
アンドロイドスマホが、iphoneに比べ、一部の機能が優れていることを取り立てることにより、あたかもiphoneより優れた商品であるかのように喧伝しつつ・・・
一般のユーザーが「携帯電話」に求める「セキュリティレベル」に全く達していないことには触れもせず、アンドロイドスマホを売りつけることは、企業倫理さえ問われる所業といえるでしょう。
(もともと墓場や工場であった土地に家を建て、全くその事は明かさずに売り付ける不動産屋みたいなものですな!)

<良くも悪くも、アンドロイドスマホは、PCと同じ構図の商品!>
 そもそも、アンドロイドスマホの販売に関する無責任体制はヒドイものです。
・携帯キャリアは → 「APRUの高いアンドロイドスマホが売れればいいや・・・」
・端末メーカーは → 「OS代がタダで済むから従来端末より儲かるわ・・・」
・グーグルは   → 「とにかくアンドロイド端末のユーザーが増えて、広告収入が増加すれば良いわ・・・」
~それぞれがまったく同床異夢。
三者の利害が一致しているのは「分業(餅は餅屋)することで、コストが大幅に削減できる」という点!
 詰まる所「コストを掛けないこと」で利害が一致している集合体ですので・・・
コストの掛かる「セキュリティ」の責任など本気で取ろうとするセクターは有りません。
何か起こっても責任の所在はハッキリせず~
「それはハードの問題・・・」
「いやOSの問題・・・」
「イヤイヤ、キャリアの問題ですよ・・・」
~と責任のがれにのたらい回しに遭います。

<アンドロイドスマホのセキュリティ問題はPC同様、解決策なし!>
 結局のところ、アンドロイドスマホのセキュリティ問題は、技術的に出来ないのではなく、アンドロイドスマホというものが、(電話のくせに)PCと同じくコストの掛かる「セキュリティには関与しない、顧客の自己責任!」という思想で出来ている商品ですから、未来永劫セキュリティが脆弱であることは、確定しています。
コスト(価格)が高い代わりに、OSとハードを一体として「モバイルフォンとしての最低限のセキュリティ」は責任を持って作り上げるiphoneとアンドロイドスマホとの商品としての立ち位置は、全く違うことは知っておくべきでしょう。
アンドロイドスマホは、一般のユーザーが、従来の感覚で考える「携帯電話」ではなく、良きにせよ悪きにせよ「小さな電話機能付きPC」に過ぎません。

<結論:ユーザーはどうすれば良いのか!>
 マスコミやネット媒体にとっては、携帯キャリアや端末メーカーは、大事な広告クライアント様ですから・・・「アンドロイドスマホのセキュリティが劣悪である」ことは、あまり積極的には書き立てません。
一般的な問題として、報道するぐらいが関の山です。

 欧米の場合は、アンドロイドスマホは、その商品の本質である「コストの低減」により、iphoneに比べ、端末・通信コストがはるかに安く販売されますので・・・セキュリティが脆弱な分は、価格が格安であることで納得することはできるのですが・・・(セキュリティとコストのトレードオフ!まさにPCと同じ構図。)
日本の場合、状況は全く逆で、セキュリティは度外視で、コストを掛けずに作った「アンドロイドスマホ」の方が「iphone」より総じて「端末代も通信費も高い」という全く解せない状況です・・・
(PCで言えば、windows PCの方がはるかにMacより高価であるような状態)
現時点では、スマートホンにするならiphoneにしておくのが、一般ユーザーにとっては正しい選択でしょう。
(従来型の携帯で特段支障のない方は、当面それを継続する手もあります。)

別に「アンドロイドスマホ」を購入するなとは言いません。
ただ、PC同様セキュリティに関しては責任を持つセクターは無く、度外視(自己責任)であることを正しく理解し、自分でセキュリティに関して対処できる自信・知識のある方限定の商品だと思った方が良いですね。
そして、アンドロイドスマホの商品の成り立ち上、iphoneや従来型の携帯と違い、未来永劫セキュリティに関して責任を取るセクターは現れませんので、PCを使用するのと同様に、常にセキュリティに細心の注意を払う必要があることも理解しておきましょう。




blogram投票ボタン

                              ↑クリックお願いします!ぼへー
スポンサーサイト

Trackback

Trackback URI
http://damasareruna.blog65.fc2.com/tb.php/1187-f667df2a この記事にトラックバックする(FC2ブログユーザーのみ)

Page Top

プロフィール

zam

Author:zam
山一證券を経て、現在エンタメ系企業の役員を務めるかたわらコンサルとして活動中の筆者のブログジャーナル。公金を毀損する輩・高齢者・弱い者を騙す輩を糾弾だ!
※保有資格
宅建/社労士/証券外務員1種/1級FP…

フリーエリア

blogram投票ボタン

最近の記事
カテゴリー
ブログ内検索
RSSフィード
リンク

このブログをリンクに追加する

メールフォーム

・スパムや荒しの対策にコメント欄は削除しました。 何かあれば、こちらへどうぞ!

名前:
メール:
件名:
本文:

フリーエリア
月別アーカイブ
相互Pingサーバー