個人情報送信するAndroidアプリに注意 既に数10万人~数100万人の個人情報が流出した可能性

スマートフォンに登録された名前や電話番号などを勝手に送信するandroidのアプリが出回り、アプリをインストールした人はおよそ6万6000人から最大で27万人余りに上るということで、セキュリティー会社では、場合によっては延べ数10万人から数100万人の大量の個人情報が流出した可能性があるそうです。
問題のアプリは16個がGoogle Playで配布されていたことが確認されており、「○○ THE MOVIE」といった動画を見ることを連想させる名前になっていました。
現在は問題のアプリや送信先のサーバーも削除されているそうですが、インストールした人は再生せずに削除して欲しいとしています。

個人情報送信するAndroidアプリに注意 既に数10万人~数100万人の個人情報が流出した可能性

問題のアプリの名前一覧

■tsunakan 作
けいおん-K-ON!動画
うまい棒をつくろう! the Movie
連打の達人 the Movie
チャリ走- the Movie
ぴよ盛り the Movie
空手チョップ! the Movie
魔界村騎士列伝 THE MOVIE
3D視力回復 THE MOVIE
ギャングハウンド the Movie

■hamunaruka 作
大盛モモ太郎 THE MOVIE
ウォーリーを探せ the Movie
桃太郎電鉄 the Movie
メガ盛りポテト THE MOVIE
FC2動画まとめ the Movie
スヌーピーストリート THE MOVIE
スク水動画まとめ

これまでにもandroidアプリのセキュリティや情報管理の悪用については問題視されていましたが、Googleが今件の改善を図らないと、新たな被害が起きないとも限りません。また、今回の問題はソーシャル・エンジニアリングという、人間のミスに付け込んだ情報漏洩のトラップですが、利用している側も怪しいアプリはインストールしない事を心がけたいものですね。

東京新聞:スマートフォン 100万件個人情報流出か:社会(TOKYO Web)東京新聞:スマートフォン 100万件個人情報流出か:社会(TOKYO Web)

 スマートフォン(スマホ、高機能携帯電話)に登録された名前や電話番号などを勝手に送信するアプリ(応用ソフト)が出回り、百万人分を超える個人情報が流出した恐れのあることが十三日、情報セキュリティー会社「ネットエージェント」(東京)の解析で分かった。警視庁は事実関係の調査を始めた。
 同社によると、アプリは「桃太郎電鉄the Movie」「ウォーリーを探せthe Movie」など、オリジナルのゲームとは無関係のゲームや映画の名前に「the Movie」を付けた十六種類。基本ソフト(OS)が「アンドロイド」の端末向けに無料で配布されていた。
 アプリを実行すると題名にあるゲーム画面を撮影した動画や、映画を紹介する番組が再生される。同時に、端末の電話番号とOSのID番号、電話帳機能に登録されたすべての名前、電話番号、メールアドレスを、都内のレンタルサーバーに勝手に送信する機能が仕組まれていた。
 アプリは三月中旬から配布され少なくとも国内外の六万人が再生していた。同社は延べ百万人分を超す個人情報が流出した可能性があるとみている。レンタルサーバーは渋谷区内の広告会社が契約していたとみられるが十三日夕に閉鎖された。ネットエージェントは該当するアプリをダウンロードした場合、再生せずに削除するよう呼び掛けている。

個人情報漏れすぎ, – luminのコードメモ個人情報漏れすぎ, - luminのコードメモ

the Movie と名のつく怪しい Android アプリの顛末 – Togetterthe Movie と名のつく怪しい Android アプリの顛末 - Togetter

スマホアプリ 情報大量漏洩か NHKニューススマホアプリ 情報大量漏洩か NHKニュース

人気ゲームを動画で紹介するスマートフォンの複数のアプリが、利用者の電話帳に登録されていた名前やメールアドレス、電話番号などの個人情報を勝手に外部に送信していたことが、セキュリティー会社の調査で分かりました。
このアプリは13日に削除されましたが、少なくとも6万人以上が利用していたとみられ、セキュリティー会社では、延べ数十万人から数百万人の個人情報が流出したおそれもあるとみています。

東京のセキュリティー会社「ネットエージェント」によりますと、問題のアプリはいずれもアンドロイドのスマートフォン向けに特定の作者が開発したもので、分かっているだけで16種類あります。
アプリの名前は、「連打の達人 the Movie」「桃太郎電鉄 the Movie」などまったく関係のない人気ゲームに「the Movie」などというタイトルをつけて、無料で配布されていました。
これらのアプリは、いずれもタイトルにある一般的な人気ゲームの動画を見ることができるというものですが、セキュリティー会社がアプリの動作を解析したところ、利用者のスマートフォンの電話帳に登録されていたすべての名前やメールアドレス、電話番号を、無断で外部のサーバーに送信する機能があることが確認されたということです。
これまでにこのアプリをインストールした人はおよそ6万6000人から最大で27万人余りに上るということで、セキュリティー会社では、場合によっては延べ数十万人から数百万人の大量の個人情報が流出した可能性があるとみています。
これらのアプリは国内の特定の開発者が作ったとみられ、アプリをダウンロードするサイトからは、13日、作者の連絡先とともにすべて削除されています。
セキュリティー会社では、これらのアプリをインストールしたことがある人はすぐに削除するよう呼びかけています。

問題のアプリは
セキュリティー会社によりますと、問題のアプリは分かっているだけで16種類あります。
tsunakanという作成者が提供している「けいおん-K-ON!動画」、「うまい棒をつくろう! the Movie」、「連打の達人 the Movie」、「チャリ走- the Movie」、「ぴよ盛り the Movie」、「空手チョップ! the Movie」、「魔界村騎士列伝 THE MOVIE」、「3D視力回復 THE MOVIE」、「ギャングハウンド the Movie」。
hamunarukaという作成者が提供している「大盛モモ太郎 THE MOVIE」、「ウォーリーを探せ the Movie」、「桃太郎電鉄 the Movie」、「メガ盛りポテト THE MOVIE」、「FC2動画まとめ the Movie」、「スヌーピーストリート THE MOVIE」、「スク水動画まとめ」。
今のところ作者は2人の名前が確認されていますが、セキュリティー会社がすべてのアプリの動作を解析したところ、いずれも国内の同じサーバーに情報を送っていたことから、2人は同じ人物か同じグループや会社に所属しているのではないかとみています。

個人情報を外部に送信する日本語のAndroidアプリに注意 - @IT個人情報を外部に送信する日本語のAndroidアプリに注意 - @IT

 動画再生アプリを装ってバックグラウンドで電話番号などの個人情報を収集し、外部のサーバに送信するAndroidアプリが存在するとして、セキュリティ専門家が注意を呼び掛けている。

 これらのアプリに対する疑念がTwitterで浮上したのは4月11日。「○○(人気アプリの名前)the Movie」という名称で、グーグルの公式アプリサイト「Google Play」で配布されていたアプリが、電話帳内のデータなどを読み取り、外部に送信していると指摘された。

 解析を行ったネットエージェント 代表取締役社長の杉浦隆幸氏によると、これらのアプリは、オリジナルのアプリを動作させた動画を再生しつつ、インストールされた端末の電話番号、Android_ID、名前、さらに電話帳に登録してある名前と電話番号、メールアドレスを収集し、外部のサーバに送信していた。アプリをインストールする際には、「READ_CONTACTS」などのパーミッションの利用を求めてくるという。

 こうしたアプリは確認されただけで16種類あった。Google Playに表示されていたアプリのダウンロード数は6万6600~27万1500件。仮に、アプリをインストールした端末の連絡先に50件分の情報が保存されていたとすれば、数百万件から数千万件の個人情報が勝手に送付されていた可能性があるという。なお、送信先の「depot.bulks.jp」のサーバならびに配布元は、現在は閉鎖されている。

 これらのアプリの手口は典型的なソーシャルエンジニアリングで、正規のアプリであるかのように見せかけ、ユーザーをだましてインストールさせる。Android OSの脆弱性を悪用するものではなく、Android向けのウイルス対策ソフトでは検出できなかったという。

 このため、海賊版のように見える不審なアプリではないことを確認し、インストール時にアプリが求めてくるパーミッションに注意するなどして自衛するしかない。だが杉浦氏によると、今回検証した不審なアプリの中には、5段階評価で4という高い評価が付いているものもあった。また、AdMobなどの広告が組み込まれている場合、正規のアプリでも多くのパーミッションが要求されることもあり、見分けるのは難しい。「これ、という対策は残念ながら存在しない」(杉浦氏)。

 正規のアプリと見せかけて裏側で個人情報を収集するこの種のアプリは、ほかにも存在する可能性が高い。「特に、会社で業務として利用している場合は注意が必要」(杉浦氏)という。

ソーシャル・エンジニアリング – Wikipediaソーシャル・エンジニアリング - Wikipedia

ソーシャル・エンジニアリングとは、人間の心理的な隙や、行動のミスにつけ込んで個人が持つ秘密情報を入手する方法のこと。

Related Posts Plugin for WordPress, Blogger...