このページの本文へ

McAfee Blog

不審な日本語AndroidアプリからのGoogleアカウントID漏洩に注意

2013年12月17日 14時56分更新

文● McAfee Blog

  • この記事をはてなブックマークに追加
  • 本文印刷

 GoogleアカウントID(アカウント名) ― 多くの場合、Gmailアドレス ―は、Android端末ユーザーの重要な識別子の1つです。McAfeeは、このGoogleアカウントIDを密かに収集する多数の不審な日本語アプリの存在をGoogle Play上で確認しています。Googleアカウントのパスワードが盗まれるわけではありませんが、IDの漏洩だけでもセキュリティおよびプライバシーに対するリスクがあります。

 下の2つのアプリ(占いアプリと出会い系アプリ)は、アプリ起動直後に端末のGoogleアカウントIDを取得し、外部のWebサーバーへ密かに送信します。アプリのダウンロード数はそれぞれ10,000~50,000回に上ります。McAfee Mobile Security は、これら不審なアプリを Android/ChatLeaker.D として検出します。

Fig.1: GoogleアカウントIDを収集する2つのアプリ

 また別の30種以上のアプリは、アプリ起動直後に端末のGoogleアカウントID、IMEI、IMSIを取得し、ユーザーに知られることなく特定のWebサーバーへ送信します。これらのアプリのカテゴリーは多岐にわたり、また複数の開発者名でGoogle Play上に公開されていますが、データ送信の実装コードや送信先が共通であることから、実際には同じ開発者か関連するグループによるものだと推測しています。一部のアプリはかなり以前に公開された形跡があり、また日本語以外の外国語にも対応していることも影響してか、これらのアプリのダウンロード回数は少なくとも合計数百万回以上に上ります。McAfee Mobile Security はこの種の不審なアプリをAndroid/GaLeaker.Aおよびその亜種として検出します。

Fig.2: GoogleアカウントID、IMEI、IMSIを収集する30種以上のアプリ

 これらのアプリがなぜGoogleアカウントIDを密かに収集しているのか、どのように使用しているのか、どのように安全に管理しているのかは不明です。また、私たちの検証時に収集されたGoogleアカウントIDを利用した不正行為も今のところ確認できていません。しかし、どのような使用方法にせよ、これらのアプリはこの情報の自動収集の事実と利用目的について事前にユーザーに明示し、かつそれを拒否する機会をユーザーに与えるべきです。

 Androidアプリは、インストール時にGET_ACCOUNTS(この端末上のアカウントの検索)権限の要求が許可されると、AccountManagerクラスのメソッドを使用してGoogleアカウント(およびその他のアカウント)のIDとそれに付随する情報を取得することができます。この権限は、アプリがGCM(Google Cloud Messaging)機構を使用する場合などにしばしば要求されます。GCMは、アプリがサーバーから端末へのプッシュデータ送信を使用できるようにするためにGoogleによって提供されている標準的な仕組みです。そのためユーザーは、アプリがGCMを使用するためにこの権限を要求しているのか、あるいは本当にアカウントIDを取得したいのか(悪意のある用途を含む)を見分けること、すなわち、この権限要求の許可が安全か否かを判断することが困難だといえます。

Fig.3: GET_ACCOUNTS権限の要求

 GET_ACCOUNTS権限が与えられてもアカウントのパスワードを取得することは不可能ですが、アカウントIDの漏洩自体にもいくつかのリスクが潜みます。

  • アカウントIDが他の悪意ある人物と共有されたりメールアドレス収集業者に販売されたりする。
  • アカウントID(メールアドレス)宛にスパムや詐欺メールが送信される。
  • ユーザーが弱いアカウントパスワードを設定していた場合、パスワードを見破られアカウントに不正アクセスされる。
  • アカウントIDを使用してユーザー登録を行ったSNS(例えば、Google+)やコミュニケーションサービス上での個人情報が特定される。

 特に、Android端末ユーザーは端末入手時に作成したGoogleアカウントID(Gmailアドレス)を使用して様々なサービスに登録し、またサービス側もそのメールアドレスによるユーザーの検索を可能とする初期設定を行う場合があるため、上の最後に挙げたリスクには注意する必要があります。例えば、ユーザーがあるSNS上で自身のプロファイルを公開しており、かつ、登録メールアドレスによる自身の検索を許可する設定(多くのサービスでは初期設定)が有効な場合、攻撃者にそのメールアドレスを知られると容易に自身のプロファイルが探し出されてしまう危険があります。

Fig.4: Gmailアドレスによるユーザー検索で名前が知られてしまう例

 もう一つ注意する点として、GET_ACCOUNTS権限の許可により、Androidアプリは端末上に登録されているGoogleアカウント以外の様々なアプリやサービスのアカウントID - 例えば、Facebook、Twitter、LinkedIn、Tumblr、WhatsAppなどのID - も取得できることが挙げられます。もしこれらのアカウントIDが漏洩すると、ユーザーはそれらのIDに関しても上で述べたような同じ危険にさらされます。

Fig.5: Android端末に登録される様々なアカウントの例

 SNSや類似のサービスのユーザーは、「メールアドレスによる検索を許可」オプションの設定を再確認し、本当にそれを望む場合以外はその設定を無効にすることをお奨めします。また一般に、このようなアカウントIDを不特定多数の他者が閲覧可能な場所に公開することは、本当にそれが必要でない限り避けた方が良いでしょう。

※本ページの内容はMcAfee Blogの抄訳です。
原文:Suspicious Apps on Google Play Leak Google Account IDs

カテゴリートップへ