先日ひと騒動あった不審なAndroidアプリの件、「ヘンなアプリに要注意! データぶっこ抜きアプリかGoogle playに不審なアプリが出回る」「その被害は数百万人以上? 個人情報ぶっこ抜きの不審なAndroidアプリの顛末」であるがアプリは削除されデータを受信してたと思われるサーバも停止し、アプリが引き起こすであろう被害はなくなったと思われる。

こういった不審なアプリの拡散を防ぐには、速やかな注意喚起と問題の周知徹底であるとつくづく思い知らされた。今回の件を時系列で追うと、まず4月11日の16時29分、Androidのブログ「アプリ系ラボAppLab」を運営している方のTwitterアカウントによるつぶやき

「Androidマーケットにて、人気アプリ名のあとに「the Movie」とつけた不審なアプリが複数出回っています。これらのアプリは「連絡先データの読み取り」と「端末のステータスとIDの読み取り」が目的と思われるため、インストールは避けるのが安全でしょう。 #androidjp」(11日16時29分)

から始まった。このつぶやきからの一連の動きをすばやくtogetterにまとめてくれたのがReAnalysis氏、4月11日から12日かけてこうした動きがあり、ITライフハックがこのtogetterに気が付いたのが12日の午前11時前後。そのままアプリの存在の有無を確認、人気アプリのプレイ動画を再生するだけのアプリであるにも関わらずアプリのアクセス許可が「ネットワーク通信」、「連絡先データの読み取り」、「端末のステータスとIDの読み取り」となっており、アプリの動作とはまったく関係ない部分でこうした機能が使われることは「明らかにあやしい」と判断。そのまま記事化し15時にアップ(しっかし、ひどい文章だね)。

苦しい言い訳をさせてもらうと速報性を優先したために推敲等も一切せずタイトルでの「あやしい」という言葉は正規アプリだったときに言い訳できず不適切だと判断して「不審」と直した程度で掲載。その後、ツイッターのつぶやきに反応したlumin氏が不審なアプリの解析を開始、真っ黒だと判明したツイートが12日の19時52分のツイート

「よ~し、怪しいアプリの中身をみちゃうぞ~。 .getLine1Number(); ContactsContract.CommonDataKinds.Email. これ黒確定だわ。」(12日19時52分)

ここからlumin氏の怒涛の追跡が開始される。日付が変わった13日の0時48分には電話番号の入手に成功。すでにこの時点で相手が誰だか特定できていると思われる。いやはや・・・悪いことはできないものである。

「the Movieアプリを作っていると思われる人の電話番号ゲット!これで電凸できると思うけど。」(13日0時48分)

いとも簡単に連絡先まで把握するとはさすがセキュリティ対策のプロ、凄腕としか言いようがない。そうこうしているうちに事の成り行きを見守ってくれていた高木浩光氏がアプリが削除され始めたことを察知し午前2時21分に

「消え始めた? 証拠保全が追いつかない。皆の衆!」(13日2時21分)

とつぶやけばlumin氏は即座に

「証拠は全部保全してありますよ。www」(13日2時21分)

と返す(そんな中、おおいびきで寝ていたのがITライフハック編集担当)。この時点では潜在的な被害が数百万にも及ぶとは考えてもいなかった・・・。

この一連のツイートを確認し、lumin氏のブログを見たのが翌朝13日の午前9時前くらい。実際被害に逢った人数の推定数を知り椅子から転げ落ちそうになる。すでに午前中アップの原稿が仕込んであったためギリギリでお昼のアップで記事化を行う。

以降は、NHKが夕方5時のニュースでこの件を取り上げてくれてから事は一気に動き出す。NHKの報道直後にYahoo!Japanのヘッドラインに掲載されてからは、各メディアがこぞって情報を掲載し始める。今日14日には大手新聞でも報道されたようである。

そうしている間にも情報送信サーバの停止まで確認したlumin氏。被害の拡大を防ぐことまできっちり仕上げるところさすがプロである。lumin氏によるツイートでこれ以上の被害が出ないことが確認される。

「The Movieのサーバ止まりました。これで安心できます。 ご協力ありがとうございました。>関係者様」(13日16時59分)

今でもアプリ名の後ろに「the Movie」と書いているアプリをインストールしているのであれば、即刻削除しよう。被害を出すアプリは全部で16種類確認されている。NHKの報道から引用させてもらうと以下になる。チェックしてインストールしていたならすぐに削除してもらいたい。

■tsunakan作
・けいおん-K-ON!動画
・うまい棒をつくろう! the Movie
・連打の達人 the Movie
・チャリ走-the Movie
・ぴよ盛り the Movie
・空手チョップ! the Movie
・魔界村騎士列伝 THE MOVIE
・3D視力回復 THE MOVIE
・ギャングハウンド the Movie


■hamunaruka作
・大盛モモ太郎 THE MOVIE
・ウォーリーを探せ the Movie
・桃太郎電鉄 the Movie
・メガ盛りポテト THE MOVIE
・FC2動画まとめ the Movie
・スヌーピーストリート THE MOVIE
・スク水動画まとめ


よくよく考えてみるとこの手のアプリは、合法アプリと何ら変わらない手法でダウンロードからインストールまでできてしまう。有効な防御手段はあるのか? と聞かれると「現状では“ない”」となってしまう。また「“あやしいアプリ”に手を出すな!」と言われて、どこからあやしくて、どこから安全なのか?といった基準もよくわからないところがある。結局自己責任ということになってしまうが、ひとつのチェック基準として

・アプリが動作するのに必要ない機能へのアクセス許可を求めていないか?
・同じ名前の人がオススメだと紹介していないか?(自作自演ぽくないか?も含む)
・ネーミングのパターンが似ているアプリが複数存在していないか?(~the Movie等)
・作者のサイトや紹介が分かるか?
・外部のアプリ紹介サイトなどで紹介記事があるか?


上記の手順を踏んで自己防衛する以外、いまのところ手段はないかもしれない。今後もこの手のアプリが出てくる可能性は高い。もしかしたらすでに存在している可能性もある。個人データーが抜かれてからでは遅い。自分なりの基準を作って不審なアプリから身を守るようにしていただきたい。

そして最後に、今回の一連の騒動に積極的に関わって情報を広げてくださった関係者各位様に対し、心より感謝の意を表します。ありがとうございました。またお手数をおかけしました。御苦労さまでした。

togetter:『【要注意】Androidマーケットにて、人気アプリ名のあとに「the Movie」とつけた不審なアプリが複数出回る

togetter:『【the Movie と名のつく怪しい Android アプリの顛末

AppLab
ネットエージェント
Yahoo!Japanニュース ヘッドライン
NHKニュース「スマホアプリ 情報大量漏洩か」

ITライフハック
ITライフハック Twitter