スマートフォンのアプリケーションストアに、マルウェアに感染していたアプリケーションが複数あったことが判明した。ユーザーは暗号資産を奪われた可能性がある。アプリケーションを安全に使うには何が必要か。
2025年2月、アプリケーションストアである「App Store」や「Google Play」に複数の悪意があるアプリケーションが登場して削除された、とセキュリティベンダーのKasperskyが発表した。同社によればそのアプリケーションは「SparkCat」(スパークキャット)という名前のマルウェアに感染して、暗号資産ウォレット(暗号資産を管理するためのツール)の権限情報が記入されたスクリーンショットを窃取していた。
SparkCatは2024年3月から使われていたが、Kasperskyが報告するまでアプリケーションストア内では放置されていた。発見が遅れたことで、未知のアプリケーションをダウンロードすることのリスクが改めて浮き彫りになった。アプリケーションストアにはどのような危険があり、アプリケーションを安全に利用するにはどうすればいいのか。
スマートフォンの機種にもよるが、ほとんどのエンドユーザーは、新しいアプリケーションをApp StoreまたはGoogle Playからダウンロードする。そうしたアプリケーションストアにあるアプリケーションであれば、エンドユーザーは知らないアプリケーションでも根拠なく信頼できると感じてしまう傾向がある。しかし、SparkCatの事例から、それが正しくないことが分かった。そうした定番アプリケーションストアにも、不正なアプリケーションが紛れ込んでいる可能性がある。
アプリケーションの性質からでは、どのような害を及ぼすのかが分からない場合がある。例えば、モバイルゲームに脅威があるようには見えなくても、エンドユーザーが外部に共有したくない個人情報をそのアプリケーションが取得している可能性がある。そのようなデータは本来、サービスの品質向上などに利用されるため、警戒する必要はない。だが、安全でないアプリケーションはこのデータを正体不明の第三者や悪意のある人物に共有または販売することを許可している場合もある。
SparkCatのケースのように、アプリケーションに仕込まれたマルウェアが許可された範囲を超えてデータにアクセスすることがある。このようなマルウェアは、個人情報窃取、なりすまし、詐欺、その他の悪意ある目的に利用される恐れがある。
App StoreやGoogle Playではアプリケーションは事前に審査されるが、審査に通っているからと言って安全とは限らない。これさえやっておけばアプリケーションの安全性が保証できるという方法はない。とはいえエンドユーザーは、初めて知ったアプリケーションの信頼性を、以下のような手順で確認できる。
まず利用予定のアプリケーションの発行元を確認する。App StoreやGoogle Playでは、アプリケーション名の下に発行元が表示されている。銀行系アプリケーションなどのように、正規の事業者であることを示す登録マークがある場合もある。その名前が広く知られた信頼できるブランドであれば、それが正規の安全なアプリケーションだと信用できるだろう。
もし発行元をよく知らない場合は、その発行元の名前をクリックして他にどのようなアプリケーションを公開しているか見てみよう。開発者のページに移動し、他のアプリケーションが一覧表示されるはずだ。もし、関連性のないアプリケーションが多数掲載されている場合は、できるだけ多くの市場に入り込んで詐欺を働こうとしている可能性がある。
公式Webサイト、ユーザーの口コミ、関連メディアの報道など、事業者に関する詳しい情報を探してみるとよい。これらの情報を確認することで、その発行元が正規の事業者かどうかを判断する助けになるはずだ。
アプリケーションの公開日やダウンロード数を確認する。ダウンロード数が多いことや、公開期間が長いことが必ずしも信頼につながるわけではないが、長期間にわたってダウンロード数が多いアプリケーションは比較的信頼性が高いと言える。高評価が継続しているアプリケーションは、セキュリティを損なわずに期待通りの機能を提供している可能性がある。
ユーザー数の多い人気アプリケーションには、低評価のレビューが多少付いてくるものだ。そのため、評価が「★5」の満点しかないアプリケーションはむしろ疑うべきと言える。しかし、安全で成功しているアプリケーションは、平均点が高いはずだ。アプリケーションの利用を検討するならば、「★1」のレビューに安全性やデータセキュリティに関する懸念が書かれていないかどうかを確認するのがよい。
「★1」と「★4」のレビューの数を比べてみるのも有効だ。これらの数がほぼ同じ、あるいは「★1」の方が「★4」より多い場合、「★5」のレビューは偽装の可能性がある。単にアプリケーションの出来が悪い可能性もあるが、開発者が悪意を持って運営している可能性も考えられる。
アプリケーションの安全性に疑問がある場合は、プライバシーポリシーを確認すべきだ。プライバシーポリシーは、アプリケーションストア内のアプリケーションページを開き、「詳細」セクションで確認できる。
効率的にチェックする方法として、「sell」(販売する)や「selling」(販売中)といった単語で検索すると、ユーザーデータが第三者に販売されるかどうか、どのようにして販売されるかを把握しやすい。プライバシーポリシーの中で使用されている表現や説明されている条件が、そのアプリケーションが安全かどうかの判断材料になる。もしその記載が曖昧だったり、表現がおかしかったりする場合は、その発行元は信用しない方がよいだろう。
アプリケーションは、サービス品質向上のために、エンドユーザーのスマートフォン内の他の機能へのアクセス許可を求めることがある。例えばMeta Platformsが運営するソーシャルメディア「Instagram」は、アプリケーション内で写真を撮影するためにカメラへのアクセスを要求する。これは不自然でも危険でもない。しかし、不要な機能へのアクセスを求める不審なアプリケーションもある。例えば、健康管理アプリケーションがメッセージアプリケーションへのアクセスを要求する場合、これは警戒すべきだと言える。
アプリケーションをダウンロードした後でも、アクセス許可は設定から変更できるが、そもそも不要なアクセスを要求している時点で、そのアプリケーションの信頼性に疑問が残る。安全のためには、ダウンロード前にアクセス権限を確認することが重要だ。
モバイルOS「Android」搭載端末のユーザーならばGoogle Playでアプリケーションを検索し、「権限」(permissions)セクションの「詳細を表示」(view details)をクリックすると、そのアプリケーションがアクセスを要求する全ての機能を確認し、発行元の意図をある程度推測できる。
米国Informa TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
ITmediaはアイティメディア株式会社の登録商標です。
