ICHIRO BLOG引っ越しました

引っ越しの理由
無縫地帯

トレンドマイクロや中国製人気アドブロックのアプリがブラウザ履歴を無断送信(訂正あり)

2018.09.11

Apple社App Storeで配布されていた中国製アドブロックアプリでブラウザ閲覧履歴が中国に無断で送信された問題が露顕する一方、セキュリティ大手トレンドマイクロも同じ事件を起こしているようです。

Mac App Storeで人気の有料アプリが実はスパイウェアであったというかなり衝撃的な報道がありました。
利用者のかなりの割合が英語圏だったようですが、このアプリ自体が中国製ということが知られておらず、みんなびっくりと言ったところでしょうか。

ブラウザの閲覧履歴を密かに中国に送信、不正アプリがMac App Storeから削除(ITmedia 18/9/10)

問題になったのは、「ブラウザをアドウェアから守る」とうたったアプリ「Adware Doctor」。米国のMac App Storeでは4.99ドルで販売され、有料アプリランキングで4位に位置する人気アプリだったという。ITmedia
無料で利用可能を謳うフリーミアムモデルが当たり前の昨今のスマホアプリ界において、最初から有料で配信するアプリであれば充分に信頼できるであろうと考える人は少なくないでしょうが、そうした人々の期待や常識を逆手にとった狡猾なやり方であったとも想像できます。

また、残念な話ではありますが、Appleが運営するアプリストアで配信されているアプリだから安心できるといった保証が必ずしもあるわけではない、ということが改めて証明されてしまった事件でもあります。

Appleには1カ月も前にAdware Doctorの問題を報告し、Appleも調査を約束したのに、Adware DoctorはMac App Storeで販売され続けていたとウォードル氏は説明。App Storeを「最も安全にアプリをダウンロードできる場所」と位置付けるAppleのうたい文句に対し、「その主張が本当かどうかも疑わしい」と批判する。

セキュリティ企業のMalwarebytesによると、Mac App Storeでは他にも、センシティブなユーザーデータを収集し、外部の開発者に送信しているアプリが複数見つかっているという。ITmedia
iOS向け/Android向けなどスマホ向けに限らず、スマホやPC/Mac向けのアプリにおいても安全性・信頼性が100%担保されることはないというのが現実であり、最終的にそうしたアプリを利用することでなにがしかの不利益があったとしてもそのツケを払うのはエンドユーザー自身でしかないということなります。安全なアプリでは無いものをダウンロードしてしまって被害に遭った場合、プラットフォーム事業者はその責任を負わないとするならば、何のための審査なのか、という声が上がってしまうこともあるでしょう。

で、今回の悪質なアプリはたまたま中華製でしたが、こうした素行のよろしくないアプリというのは特定の国の開発者だけが作っているというわけではありません。我らが日本の著名メーカーが関連したアプリでも事は同様です。先日もデンソー子会社のデンソーウェーブ社の提供する公式アプリで無断でGPS情報などを収集するという問題が発覚しましたが、アプリ開発者側はとくにユーザーに対して謝罪の意などを表明をすることもなく、しれっとアプリのバージョンアップで「位置情報の使用停止」いう謎の「新機能」追加を謳うという素晴らしい対応をやらかしてくれました。

さすがにセキュリティクラスタも総立ちで「これは意図的な隠ぺいで、正直よろしくない」という反応をしていましたが、個人情報に敏感であるべきアプリ提供会社なのにどうもこの辺の意識が希薄なのが気になります。

便利な「QRコード」規格開発元デンソーウェーブが利用者位置情報を無断提供か(Yahoo!ニュース 個人 山本一郎 18/8/29)
経済同友会・玉塚元一さんが取りまとめた『マイナンバー制度に関する提言』が物議(Yahoo!ニュース 個人 山本一郎 18/8/9)

さらには、経済同友会の玉塚元一さんが政策提言としてマイナンバーカード機能を巡ってスマホとアプリを活用することで行政の効率化や国民の利便性を向上できるといった脳天気な話をしてしまう昨今です。どこまで安全性や信頼性を担保できるかは大きな課題です。

もちろん、世の中かくあるべしという理想や目論見は色々あることでしょうが、なかなか簡単にはいかないだろうなと心配してしまいます。技術力があってモラルもある真っ当な開発者に出会えることを祈るばかりです。

と、こんな記事を書いていたらさらに衝撃的な一報が入ってきました。

App Storeで配布されている複数の人気Macアプリがユーザーデータを収集して外部サーバーに送っている(Gigazine 18/9/10)

開発者として「Trend Micro, Inc」(トレンドマイクロ)とクレジット表記されている「Dr. Unarchiver」というアプリもApp Storeで配布されており、ユーザーデータを無断収集していることが明らかになっています。Gigazine
ユーザーの情報を外部のサーバーに送信していた「Trend Micro, Inc.」のDr.シリーズのアプリがMac App Storeから消える。 (AAPL Ch. 18/9/10)

トレンドマイクロはたしかセキュリティ対策企業のはずですが、なぜこんなことになっているのでしょうか……。

アーカイバーであるにもかかわらず、なぜかブラウザの履歴が抜かれ、ファイルのPath情報や、意味の分からない暗号化されたzipを「Trend Micro Inc. DD」なるサーバに転送してるようで、報道が事実だとするならばセキュリティ関連についてモノを言う資格もないぐらい悪質な行為のようにも見えます。

この辺は続報もあるようなので、トレンドマイクロについても、また、問題アプリをプラットフォーム事業者がどう審査するかについても、引き続き考えていきたいと思います。

(訂正16:59)

文中、中国製「Adware Doctor」をiOS向けと間違って記述してしまいました。正しくはMac App Storeであり、Mac向けでした。ご指摘いただき、ありがとうございました、お詫びして訂正いたします。