Androidアプリのアクセス権限と個人情報


Androidは利用者が多いだけに、悪意のある攻撃者から標的にされやすく、Googleプレイストアで公開されているアプリでさえ、マルウェアが紛れていたりする。
マルウェアとは「悪意のあるソフトウェア」のことで、ウイルス、ワーム、トロイの木馬、スパイウェア、ランサムウェアなど、悪意のあるコードを含んだプログラムの総称。




 

パソコンの場合だと、不審なメールの添付ファイルを開いたり、怪しいフリーソフトをインストールしたり、セキュリティホールを狙われたりするのだが、Androidの場合は「自分でインストール」している可能性が高く、更に懸念すべきなのがマルウェアではないアプリでも、個人情報流出のリスクが高いこと。

プライバシーと個人情報の漏洩

個人情報とは「個人を特定できる情報」のこと。
MicrosoftやGoogleなどは、アカウントの情報からユーザーの行動を把握できる状態にある。
閲覧しているサイト、買い物、検索ワードのほか、アクセスしている場所や時間、クラウドに保存してある画像やファイルなどなど、アカウントに紐付けられた事は、確認しようと思えば不可能ではない。
マイクロソフトはともかく、Googleのサービスはほとんどが無料だが、無料で享受した利便性の代償が、個人情報の提供だったりする。

スマホの場合は、スマホそのものが個人情報の塊のようなもので、電話番号・通話履歴・メールアドレス・メールやSNSの内容・アドレス帳・写真・GPSによる位置情報・ブラウザのアクセス履歴・クレジットカード・電子マネーの使用履歴などから、随分と個人と個人の環境が特定されてしまう。
インストールしたアプリはアクセス権限によるが、これらの重要な個人情報「機密ログ」にアクセスし、バックグラウンドで取得した情報をサーバに送信することも可能になる。

無論、収集されている情報が適正に扱われていれば直接的な被害を受けることはなく、多くの場合は適正に処理されているのだが、2016年度のGoogleプレイからのみアプリをダウンロードしたデバイスでも、マルウェアを含んでいた端末は0.05%ある。

危険なAndroidアプリを大幅削減

全てのマルウェアが個人情報を抜き取るわけではないが、収集された情報は普通に売買され、全く見ず知らずの誰かに、自分の情報が握られ、悪用されるリスクがあることは認識しておくべき。

アクセス権限

Googleプレイストアでアプリのインストール時に表示されるのがアクセス権限。

アクセス権限は使用するアプリに対して与える権限で、アプリは付与された権限により各データへアクセスが可能になる。

 

アクセス権限はアプリ詳細ページの最下部からも確認できる。

権限グループの定義

アクセス権限はAndroid6.0から仕様が変わり、Android5.9以前のバージョンでは以下の項目がある。

  • アプリ内購入
  • 端末とアプリの履歴
  • モバイルデータ通信の設定
  • ID
  • 連絡先
  • カレンダー
  • 位置情報
  • SMS
  • 電話
  • 画像・メディア・ファイル
  • カメラ
  • マイク
  • Wi-Fi接続情報
  • Bluetooth接続情報
  • ウェアラブルセンサー・運動データ
  • 端末IDと通話情報
  • そのた

Android6.0以降でのアクセス権限は下図のように項目が簡素化されているが、各アクセス権限の内容はアプリごとに異なり、詳細を掴みにくくなった反面、アプリが要求しているアクセス権限の個別切り替えが可能なった。

これらのアクセス権限には、デバイス内の個人情報など「機密ログ」にアクセスできるものや、アドレス帳、インターネット接続のフルアクセスなど、様々な項目があり、多くのアプリが利用している。

「端末IDと通話情報」は端末の ID、電話番号、電話中か否かの情報、通話相手の番号、電話のステータス、識別情報などへのアクセスが可能になるが、この権限はアプリを使用中に電話がかかってきた場合に、アプリを中断させるのに不可欠なので、ゲームなど電話に無関係なアプリであっても、アクセス権限を要求してくるなど、他の権限も含め、要求している権限がアプリの機能として不可欠な要素なのか分かりにくく、必要であったとしても正常に使用されているのか確認できないため、アクセス権限のみで危険なアプリを判断することは難しい。

アクセス権限の確認と切り替え

Android6.0以降ではインストールしたアプリに付与されている権限は、後から変更が可能になった。

「設定」から「アプリ」を開いて「ギア」アイコンをタップ。

「アプリの権限」をタップ。

アクセス権限の項目が表示され、アクセスを要求しているアプリ数とアクセスを許可したアプリ数が表示される。

アプリを自動更新にしていると権限が追加される場合があり、その際にはメッセージが表示されるので要確認。

各項目をタップすると、アプリごとに権限のオン・オフが設定できる。
ただし、権限をオフにするとアプリの機能が一部使用できなくなる。

アプリによっては更新時に新たな権限を要求してくるものがあるので、更新時には要チェック。

中華アプリの「ES File Explorer」は、使い勝手がよく、ファイルマネージャーの代名詞的なアプリだったのだが、2013年に百度(バイドゥ)に買収され、今では膨大な広告とバックドアに汚染された危険なアプリに成り下がっている。
また、百度のIME「Simeji」にはバックドアが発見され、百度の子会社であるDU Groupのアプリは個人情報を収集することがプライバシーポリシーに明記されていたり、中国製スマホのファームウェアにバックドアが発見されたりと、いろいろとデンジャー。

国内の普及率が高い無料通話アプリ「LINE」は、セキュリティアプリよりも上位のアクセス権限を要求している割にはセキュリティが甘く、2013年に情報保護の信頼性を証明する「SOC 2」「SOC 3」「SysTrust」の認証を受けていながら、翌2014年にはLINEの内容を韓国の国家情報院が盗聴・傍受していたことが発覚。
アカウントの乗っ取りもあり、通信の秘密を守るプライバシー保護法がない韓国にサーバがあったりと、LINEそのものに悪意はなくても、取り巻く環境は決して良いとはいえない。

Googleプレイストアで公開されているアプリは、中国や韓国製のものが多く、悪意のあるアプリは上位のアクセス権限を要求しても不自然ではない、セキュリティアプリやファイルマネージャー、SNSアプリなどに偽装していたり、興味をそそられるゲームとして提供されていたりするので、インストールする際は慎重に。

無論、インストールしないのが最も安全。






Androidのセットアップ

Androidアプリのアクセス権限と個人情報

Androidは利用者が多いだけに、悪意のある攻撃者から標的にされやすく、Googleプレイストアで公開されているアプリでさえ、マルウェアが紛れていたりする。 マルウェアとは「悪意のあるソフトウェア」のことで、ウイルス、 … 続きを読む

Androidのセキュリティとサポート

Androidはオープンソースで提供されているので、デバイスの製造メーカーやキャリア各社がカスタマイズしており、アップデートは製造メーカーによって実施されている。   開発元のGoogleが提供しているアップデ … 続きを読む

Remix OSのインストールと設定

Androidをパソコン用にした「Android-x86」を進化させ、よりパソコンに適した仕様にしたものがRemix OSで、マルチウインドウでAndroid用のアプリが動作する。 GoogleのChrome Bookに … 続きを読む

Android-x86の起動とインストール

Android-x86は、モバイル用のAndroidをx86系のコンピュータで使用できるようにしたOS。大雑把に言ってしまうと、Windowsが動作してるPCで、スマホやタブレットで使用しているAndroidが使えるよう … 続きを読む