無縫地帯

Androidアプリのセキュリティ問題が悩ましい件

佐川急便を偽装するマルウェアが流行、この件でトレンドマイクロ社の説明を垂れ流したNHKがちょっとした騒ぎにになるも、根源はAndroidにおける独禁問題を抱えるGoogleという問題を解説します。

NHKニュースがトレンドマイクロの広報活動に乗せられて不適切な報道をしてしまったために高木浩光先生を筆頭としたセキュリティクラスタな方々の逆鱗に触れて炎上したようです。NHKにも言い分はあるとは思いますが、NHKの内容をまとめたブログ記事をご紹介しておきます。

NHK、トレンドマイクロの言い分を垂れ流し。本当に必要な対策を掲載せず(すまほん!! 18/7/28)

しかしながらNHKニュースの方はこの記事を書いている時点ではまだ当該情報をウェブサイトに公開したままなので、とくに問題があるとは考えてないのかもしれません。この辺、界隈のリテラシーに詳しい人がいれば、もう少しNHK側も対処がなされるのは早かったかもしれませんが。

本物そっくり!?「偽・佐川」に厳重注意を!(NHKニュース 18/7/27)
web.archive.org

それにしても、セキュリティにまつわる技術情報が営利企業の広報担当者によって、しかもわざわざ顔出しで解説されるというのもいまひとつ解せないという印象を覚えます。まあ、広報担当者であってもセキュリティ分野の技術に詳しくないとは言い切れませんから、これはあくまでも個人的な感想程度の話ではありますが。ちなみに、この中吉雅代さんという方はセキュリティ分野での業績はよく分かりませんが、自己啓発やスピリチュアルな分野ではかなり活躍されている方のようでしてなかなか興味深いものがあります。

ゆるがない自分を見つける、自然治癒力への第一歩
Cross Sector Leaders Summit 2016

それはさておき、ではNHKニュースの内容がよろしくないということであれば、一体どういう対策が好ましいのかについては以下の記事などが比較的分かりやすいのではないかと思われます。

「佐川急便の偽サイト」に学ぶAndroidの防御法見直す設定はたった1つ(ITmedia 18/7/31)

取材を通じて得た個人的な感覚ですが、こういったマルウェアに関してはそのほとんどがAndroidを対象としたものだと考えています。そのため、もしこのような攻撃をリスクと考えている人で、自分で端末を選択できるというのならば、iOS端末をお勧めします。
(中略)
もちろん、iOSにもプロファイルをインストールさせ、設定を変えることで通信経路を奪うという攻撃は存在します。そのため、決して「何をしても安全」というわけではないことは付け加えておきます。ITmedia
元も子もない話になってしまいますが、アプリ周りのセキュリティに関してはiPhoneなどのiOSデバイスの方が今のところ何も考えずにAppleお任せで対応できるので簡単ということが言えるのかもしれません。逆に言えば、AndroidはiOSのようなAppleによる過剰な囲い込みや規制が無いのが素晴らしいという考え方もできるわけでして、そのあたりはユーザー自身の技術的な知識やスキルに合わせて使い分けるのが妥当だろうと感じます。

で、この記事ではAndroidアプリで安全性を高めるためのガイドラインとして提示しているのは以下の方法です。

「提供元不明のアプリのインストールを許可する」という設定をオンにしてはいけない、ということ。これは開発者向けの設定で、例えばアプリストアを経由せずに、テスト目的でアプリをインストールするときに設定変更するものです。開発者であればその理由は理解できると思いますが、大多数の人にとっては「いじってはいけない」ものなのです。ITmedia
見る限り、この解説はほぼ正しいとは思います。しかし、実際には国内の大手サービスにおいても一部はこの「提供元不明のアプリのインストールを許可する」という設定をオンにしなければ利用できないものがあったりするわけですね。たとえば以下の例などがそうです。

Androidアプリ インストール方法(DMM.com)

もちろんDMMが悪いと言っているわけではなく、一般的なやり方の一つの例示として典型例なものです。他にもAmazonのアプリサービスなど、大手のアプリではDMMと同様の仕組みになっています。要するに、Googleのアプリストアである「Google Play」以外のサービスを利用してアプリをインストールしようとするとどうしても「提供元不明のアプリのインストールを許可する」ことが現状では必須となってしまいます。

実はこの状況が欧州圏ではAndroidが独禁法に抵触しているのではないかと問題になっている要因の一つに遠からずも関係していたりします。

グーグル成長の立役者「アンドロイド」の功罪(東洋経済 18/6/11)

グーグル側は、アンドロイドスマホにグーグルアプリを入れなければならない規定はないと主張。確かにメーカー側は必ずしも協定に同意する必要はない。だがグーグルプレイを入れられなければ、提供アプリ数が少ないほかのアプリストアを使うことになる。東洋経済
Googleとしては、アプリのセキュリティを担保するために自社が提供するGoogle Playからのみアプリをインストールするように推奨しているわけですが、AndroidがAppleのiOSデバイスより秀でている利点が実はGoogle Play以外からもアプリを入手できることにあるわけでして、その部分を否定するのはAndroidユーザーとしては納得しにくいところがあるかもしれません。非常に悩ましいところです。セキュリティを優先するか自由を優先するかというところでしょうか。技術的な知識やスキルがあるユーザーであれば自由を優先するのが当然ですが、もはやスマホはそうした突出したギークだけのものではないという事情もありまして、このあたりが各人の価値観の相違から色々と議論になり揉める要素でもあります。

で、スマホに関してザックリと言ってしまえば、サイバーセキュリティの問題が社会全体の脅威となり得ることを考えると、ギークではない人でも分かる仕組みを導入・推進していくしかないでしょうし、アプリの流通に関してはモヤモヤする部分を感じつつもGoogleやAppleのようなプラットフォーマーに安全性担保を実現してもらうしかない状況なんだろうと思う次第です。一部のプラットフォーマー任せというのはかなり残念な気がしなくもありませんが。