無縫地帯

スマホで個人情報流出問題の定点観測・最新情報

スマホの悪質アプリ経由で個人情報が流出する事件が相次いでいます。ヤバいことになってますね。最近ウェブメディアで報じられた内容を吟味しつつ、技術、法律両面から問題の解決の難しさを考えてみたいと思います。

相変わらずスマホの機能を利用しての不正と思われる個人情報収集が大手を振って行われている状況ですが、その最新動向を簡単にまとめてみました。

過去の"the movie"摘発→不起訴騒動のあたりも、今後細かく追いかけてみたいとは思っておりますし、そんな個人情報集めてどうするの?という疑問の奥にある、犯罪組織による華麗なる個人情報の現金化の世界なんかも振り返ってみたいところではあるんですけれども。

■ 最新状況

日本のAndroidユーザーを狙う悪質アプリが新たに出現、個人情報流出の恐れ(ITmedia 2013/1/22)

しかし、こういったアプリを利用しての個人情報取得に対して、現行の日本の法律は、決定的な抑止力を残念ながら持っていません。その結果、上記の通り既存の事件では嫌疑不十分で不起訴処分という判例が出てしまうわけですが、逆に言えば「あなたの個人情報は法律は守ってくれない」ことでもあります。

スマホの個人情報抜き取りアプリ事件、IT会社社長ら不起訴

この結果をなぞるような形で、ユーザーには個人情報収集することを明示しながらも、収集された情報がユーザーの想定を上回る形で悪用される可能性のあるアプリも登場しています。まさに法律の盲点を突いた形です。

絶対に入れちゃダメ!76万人個人情報流出の「全国電話帳アプリ」が「全国共有電話帳アプリ」として復活(NAVERまとめ 2013/1/20)

はい、最悪ですね。どうしてくれようかと思案に暮れてしまうレベルです。こういった状況に対しては、すでにIT業界の中だけで解決できる問題ではないという認識から、すでに一般紙をはじめ多くのメディアでユーザーにセキュリティ意識を啓蒙するような記事が掲載されだしています。

スマホで出会い系に個人情報が流出その対策は?(読売新聞 2013/1/9)

スマホ、むやみにアプリ入れないで個人情報抜き取られる被害目立つ(産経新聞 2012/9/28)

数百万規模の個人情報流出アンドロイドに利便性の代償(日本経済新聞 2012/4/17)

また警察でもスマホのセキュリティについては啓蒙活動が行われています。
警察としては、捕まえても放免となってしまう可能性が高い以上、何とか国民を守ろうとするとこういう警鐘を鳴らして防ぐしかないんでしょうね。

スマートフォンを利用している方へ(警視庁ホームページ)

しかし、実際にアプリをインストールして利用する際には、その危険性を確認する作業が一般エンドユーザーにはハードルの高い作業です。Googleは公式アプリストアの「Google Play」でアプリがどのような動きをしているかを「アクセス許可」という形で明示していますが、この内容を見ても、用語などが難しく一体何を意味しているのかよくわからないというのが正直なところです。

セキュリティ対策会社のネットエージェントが、アプリの危険性を確認できるサービス「secroid(セキュロイド)」を提供していますが、これでもGoogleの示すアクセス許可よりはわかりやすい仕組みになっているとは言え、やはり依然としてわかりにくいという感があります。

secroid

上記サービスについては、ネットエージェント代表取締役の杉浦隆幸氏のインタビュー記事があり、いろいろと興味深いお話が語られています。

スマホから個人情報が漏洩中!あなたはそれでも使い続けるのか…?大手=安全という思い込みの罠(APPREVIEW 2013/1/18)

記事中の見出しも色々と衝撃的です…

モバゲーに与えたあなたの情報はDeNA以外の海外の7社へ拡散し共有されている
■ 肝心のGoogleもセキュリティについて問題があることは認識しており、最新OS(まだ日本国内では正式に導入されていませんが…)では純正のアプリチェック機能が搭載されているようです。

Android 4.2はGoogle Playストア扱い以外のアプリについてもその危険性をチェック可能に(AppLab 2012/11/2)

しかし、このセキュリティシステムを検証した記事によると、「1260サンプル中、マルウェアとして判定できたのはわずか193と、判定率で15.32%と非常に残念な結果」ということです。っていうか、全然駄目じゃん。

Android 4.2 "Jelly Bean"のマルウェア検出機能はどこまで有効?(マイナビニュース 2012/12/12)

誰もが気軽に安心してスマホアプリを使えるという状況にはほど遠いという感じでしょうか……。というか、プラットフォーム事業者のほうが、問題となりそうなアプリをきちんと審査するという体制を作らない限り、決して被害が減ることはないでしょうし、流出してしまった個人情報に対してきちんとトレースしてどこに流れ着いたのか調査をするほかないのではないかと思います。

新法を作るにしても、プラットフォーム事業者や、ビッグデータ周辺などの問題は大きく横たわるわけで、この辺も踏まえてとっとと悪質業者は摘発できる仕組みを作りたいなあ。