ESET/マルウェア情報局

スマホアプリがリクエストしてくるアクセス許可に要注意

  • この記事をはてなブックマークに追加
  • 本文印刷

本記事はキヤノンマーケティングジャパンが提供する「マルウェア情報局」に掲載された「アプリが求めるアクセス許可にどこまで応じるべきか」を再編集したものです。

 誰もが友人から新しくて面白いアプリを紹介されたことがあるだろう。または、今すぐにアプリをダウンロードして、コミュニケーションするように促す広告を目にしたことがあるはずだ。しかし、アプリから要求されるアクセス許可を軽く考え、機能と同じようにみなしていないだろうか。アクセス許可を求めるメッセージを読むことさえ面倒だと思っているかもしれない。概ね該当している人が少なくないはずだ。

 現在、どのようなアクセス許可をモバイルアプリに付与するのか、慎重に設定することがますます重要になってきているが、それはなぜだろうか。

 アプリのアクセス許可は複雑難解で、その必要性が不明であることや、そもそもアクセス許可が不要だと思われるアプリもある。バッテリー管理アプリを例に考えてみよう。このアプリには、自分の位置情報を正確に把握することや、新規のアカウントを作る必要があるだろうか。もちろんその必要がないのは言うまでもない。

 最近、私(Tony Anscombe)はNetflixのドキュメンタリー番組「グレート・ハック:SNS史上最悪のスキャンダル」を視聴した。この番組では、データ会社であるケンブリッジ・アナリティカ社の関与や、主にソーシャルメディアを通じて収集されたデータをどのように操作して無党派層に投票させたのかを徹底的に追及している。司会を務めたデビッド・キャロル教授は、「娘が18歳になるまでに、彼女を特定するデータポイントはおよそ7万に達するかもしれない」と不安をあらわにしている。この番組では重要なメッセージとして、「この世界においてデータは石油以上に最も価値のある資産になった」と伝えている。

 データポイントの多くは、ソーシャルメディアなどで共有した情報から入手される。それは、まさにデータをコンテキストから収集する場面や、あまり関係ないと思っている場面で起きているのである。

 先の例に話を戻そう。バッテリー管理アプリが正確な位置情報を求めるのはコンテキストから外れてはいないだろうか。アプリの開発会社は追跡することを目的に、データポイントを必要としているのではないだろうか。地図を使う、方角を知りたいという場合に、上記のようなアクセス許可が必要なのは理解できる。ユーザーの位置情報が把握できなければ、アナウンスも難しい。紙の地図の時代、自らが地図上のどこに位置しているのかがわからなかった時のような感覚なのかもしれない。

 アクセス許可を最も悪用したアプリとして知られるのが懐中電灯アプリだ。このアプリは、例えば連絡先データやマイクへのアクセス許可を要求してくる。この懐中電灯アプリは会話を盗聴して、連絡先の情報をすべて盗み出そうとしているのではないかと疑いたくなる。実際、そういった行動はとられていないようだが、このようにデータポイントを売ろうと企む会社は数多く存在する。2013年に、米国連邦取引委員会(FTC) は懐中電灯アプリを開発する数社に対して、アクセス許可が収集データに関するプライバシーポリシーに違反している点を厳しく追及した。問題となったのは、収集データに関する同意が得られていなかったことである。アプリがアクセス許可を公開し、データの収集と利用方法がそのプライバシーポリシーに準じていれば、収集データがコンテキスト内に存在するのかユーザーである私たちは慎重に確認しなければならない。また、コンテキストから収集されたデータであっても、アプリが提供するサービスが収集データの価値に見合っているか判断しなければならない。

実際に試してみると

 便利な機能を提供するアプリをダウンロードするとき、他のアプリを選択するという判断も頭に入れておきたいところだ。同じような機能を提供するアプリの違いと要求されるアクセス許可を明らかにするために、Google Playストアで「電池節約」アプリを検索してみた。以下は、検索結果のリストに表示された1番目から5番目までのアプリをまとめた表である(表示された順で並べている)。

※Welivesecurity内のグラフを元に編集部で日本語訳し、一部加工を施しています。

 上の表を見ると、同じような機能を持っているようなアプリでも、アクセス許可の数が違うこと、GPSによる位置情報などの取得、ファイルへのアクセス権限レベル(読み込み/修正/消去)が異なることが分かる。

 スマホにダウンロードしたアプリを整理したり、アクセス許可の管理を見直したりすると、パフォーマンスが向上するので一度試してみてほしい。出発ゲートやバス停で時間をつぶしている合間に「キャンディクラッシュ」ゲームで遊ぶのではなく、不要なアプリの削除や、残すアプリのアクセス許可を調べてみるといった具合だ。

 「アプリと通知」にある「アプリ」などのメニューで、有効になっているアプリのアクセス許可を確認することができる。目的のアプリを探し、アクセス許可が表示されるまでスクロールダウンする。じっくり再考し、必要が無さそうであればすべてオフに切り替えること。

 これは機能別に行なうことも可能だ。たとえば、カメラのアクセス許可を検討する場合、このアクセス許可を付与したアプリをすべて表示し、自分に必要かどうかに応じてオンかオフに切り替えることができる。アプリの特定のアクセス許可を拒否しても、機能が完全に無効になるわけではなく、その機能を制限するだけのことである。

 データが本当に石油よりも価値があるものであるならば、個人データの価値を理解することが極めて重要である。というのも、企業がデータを収集するのは収益を上げるためだからだ。ユーザーの立場から企業のサービスを利用する際には、提供するデータを十分理解し、適切に管理することを心がけたい。

[引用・出典元]
Do apps need all the permissions? by Tony Anscombe 2 Oct 2019 - 11:30AM
https://www.welivesecurity.com/2019/10/02/do-apps-need-all-permissions/