ICHIRO BLOG引っ越しました

山本一郎です。「インターネット業界の禰衡」と呼ばれています。

ところで、システム周りを簡単にいじられることから特にコアユーザー間で人気のあったAndroid向けファイル管理ツール「ESファイルエクスプローラー」に何やら謎の通信機能があったということで、ちょっとした騒ぎになっております。

ファイル管理ツール「ES ファイルエクスプローラー」に不正な通信の疑い（AppLab 14/8/7）

Android用のファイル管理ツールとして比較的人気が高い「ES ファイルエクスプローラー」ですが、端末内の情報などを収集して不正に外部へ通信している疑いがあるようです。AppLab

外部の通信先にはなんとあの何かとお騒がせのBaiduが含まれていた上、アプリを動作させると端末内にbaiduフォルダまで生成されることも報告されているようでして、ユーザー間で一気に話題が盛り上がっているようです。

ちょっとまだ全容が明らかではないので、留保するべき部分がまだ多々あるかとは思うのですが、少なくとも注意しておいて損は無いという風情になっています。

ESファイルエクスプローラーがBaiduに乗っ取られたのは確かなようだ。まっさらな状態でESファイルエクスプローラーを入れたら、Baiduフォルダができていた。simejiと同じような感じで乗っ取ったのかな。あおなん

もっとも早いタイミングでこの件を報告していたと思われるブログ「モバイルタンク4」の筆者は、セキュリティのことを考えて単にアプリをアンインストールするだけではなく端末を完全に初期化するという徹底した対策を施されたようです。

調べてみると隠れ蓑利用？蜘蛛の巣を張り巡らすかのようにAndroid端末内部にBaiduフォルダが自動生成されるような印象を受けてしまった（モバイルタンク4 14/8/8）

とりあえずESファイルエクスプローラーをアンインストールしておけば済みそうだが、過去さまざまなPC OSで修羅場をくぐり抜けた経験が直感的に導き出した回答はNo。そう、この手のたちの悪いアプリはアンインストールしただけでは抹殺といかず、将来的に孵化しそうな卵を産み付けることがあるやもしれぬ・・・・これはより安全を期すならば初期化、オールリセットしかあるまいということで、Nexus5 & 7,au SHL22の3台をまとめて初期化することにした。モバイルタンク4

一方で、Google Playにある同アプリのユーザーレビューでは「スパイウェア疑惑 プライバシーポリシーに個人情報を収集しないと書いてある。確定的な証拠が無いのにスパイウェアだと決めつけるのは早計だと思います」という意見も見受けられます。そうですね。ここから先は各人が自己責任でそれぞれ対応すればいいということになるのかもしれませんが、これまでもセキュリティ上で色々と問題のあったBaiduの絡むアプリをわざわざリスクを冒してまで利用するのはあまり感心しないところではあります。

このほかにもAndroid関連でいくつかセキュリティ的に気になる話題があったので拾っておきます。

Androidアプリの暗号化キーに関する脆弱性をIBMが指摘、修正パッチはAndroid4.4にのみ配布され全体の約86％は依然危険にさらされたまま（GIGAZINE 14/6/30）

IBMのアプリケーション・セキュリティの研究チームが、Androidアプリの秘密鍵と公開鍵のペアや公開鍵証明書を格納するためのリポジトリとして機能するデータベースであるKeyStoreに関する脆弱性を指摘しました。現在この脆弱性に対する修正パッチはAndroid 4.4向けにのみリリースされており、Android端末全体の86.4％が依然として危険にさらされたままとなっています。GIGAZINE

Androidに脆弱性、許可なく通話発信される恐れ（ITmedia 14/7/8）

この問題はドイツのセキュリティ企業Curesecが発見し、7月4日のブログで情報を公開した。脆弱性はAndroidのバージョン4.1.1～4.4.2に存在する。Androidセキュリティチームには2013年末に報告したといい、6月19日にリリースされた4.4.4で問題は修正された。しかし、4.4.4はまだあまり行き渡っておらず、大多数のAndroidに依然として脆弱性が存在していると思われる。ITmedia

幸いなことにこれらの不具合はOSを最新版のAndroid 4.4.4へアップデートすることで回避できるようですが、市場に出回っているAndroid端末の多くはこうしたOSのアップデートをすぐに利用できる環境にないということがAndroidの一番の問題点かもしれません。ドコモはつい最近、現行モデルに関してAndroid 4.4へのバージョンアップ予定を発表しましたが、対象となるのはわずか9機種のみでそれ以外の製品については「ハードウェアの制限等により実施いたしません」と公言しています。

Android(TM)4.4へのバージョンアップ予定製品について（NTTドコモ 14/6/26）

つまり、上記の記事などで指摘されているセキュリティ面の不具合がドコモの古い製品において今後修正される可能性は非常に不透明です。よく分からないのは、ドコモの場合、古い製品でもたまに不具合修正等を目的とした修正プログラムが提供されたりするのですが、具体的に一体何を修正したのか細かい情報は一般ユーザー向けに公開されないため、はたしてセキュリティの不具合に対応したのかどうかは不明のままとなっています。こういう状況が続く限りユーザー側としてはなかなか安心できず、残念な感じです。

また、Androidでは一旦入力したデータを完全には初期化できないおそれがあるという報告も出ていました。

「Android」の初期化機能、個人情報の消去が不完全--セキュリティ企業が指摘（CNET Japan 14/7/9）

eBayでAndroidスマートフォン20台を購入した（eBayでは常に8万台前後の中古スマートフォンが売りに出されている）。AVASTの従業員がこれらのスマートフォンのデータを復旧したところ、写真4万件以上、電子メールとテキストメッセージ750件以上、連絡先250件以上、4台分の前所有者らの身元、記入済みのローン申請1件などが見つかったという。CNET Japan

全てのAndroid端末がこうした状況なのかどうかは不明ですが、使わなくなったスマホを中古市場等へ転売しようとした場合に、個人情報がダダ漏れとなる可能性があるというのはかなり怖い話です。しかしながら、上記の報告はセキュリティ対策会社によるものでして、こうしたデータ消去には自社のツールを使えば安心といった話が出ていることから単なるセキュリティ製品の宣伝かもしれないという可能性もあります。

AVASTは報告書の中で、自社開発のAndroidセキュリティアプリに付属する消去ツールに言及した。AVASTによると、同ツールは個人データを消去する点で、Androidに搭載されているリセット機能よりも優秀だという。CNET Japan

このあたりについてはAndroid提供者であるGoogle側の見解も聞いてみたいところではあります。

また、Androidだけがセキュリティ的に問題を抱えているのかといえばそんなことはなく、iPhoneにも同じようにリスクは存在します。

iOSにもリスクは存在、Androidとの比較報告書が公開（ITmedia 14/6/19）

Marbleの報告では、「AppleのiOSのセキュリティの評判の高さは、アプリ配信コントロールによるものであって、同OSの本質的な優位性によるものではない」と強調している。配信コントロールを別として、モバイル端末に対してよく使われる14種類の攻撃の手口をiOSとAndroidに対して試したところ、リスクは同程度だったという。（中略）また、iOSもAndroidも、アプリが定期的にコンテンツやメールの内容へのアクセスを要求するなどプライバシー上のリスクが存在するとことも判明。そうしたデータがアプリ配信者の手に渡れば、ユーザーや企業がコントロールすることはできなくなり、潜在的に重大なセキュリティ問題が生じると警告している。ITmedia

結局はどちらを選んでも100パーセント完璧なセキュリティというのは現実的にあり得ないという話に落ち着くわけですね。

先日話題になったiOSのバックドア問題についても依然としてぼんやりとした状況でして、以下の論考記事などがかなり参考になりますが、それぞれの抱えるリスクを知った上で適切に利用するしかないという至極当たり前の結論しかないようですね。

iPhoneは、持ち主をスパイするのか、しないのか？（カスペルスキー公式ブログ 14/8/6）

セキュリティのしっかりしたTizenがドコモあたりからドーンと提供されることを期待してやみません。