雑然紛然？ ここが変だよ、日本のモバイルアプリとAPT！：AVTokyo 2012レポート（1/2 ページ）

No drink, no hack！

　2012年11月17日、都内のClub atomで「AVTokyo 2012」が開催された。ドリンク片手にコンピュータセキュリティについて語り合う、そんな場として誕生したAVTokyoは、海外勢も積極的に参加し交流するオープンカンファレンスだ。

　セッションにはTwitterやFacebookなどに公開禁止のディープな内容も多く、参加するうま味がたっぷり詰まったイベントでもある。今回は、公開OKのセッション2つの内容を簡単に紹介する。

オープニングですでに興奮に包まれるAVTokyo会場

本当に怖いモバイルアプリの開発ミスとアドネットワーク

　「日本のモバイル向けゲームアプリには、興味深い挙動を示すものがある」――ショートトラック「日本のモバイルアプリの驚くべき挙動」で登壇したAppthorityの創業者兼CEOのアンソニー・ベッティーニ氏は、こう切り出した。

Appthorityのアンソニー・ベッティーニ氏

　Appthorityは、社内に持ち込まれる私用デバイスの安全な接続と利用を促進するためのソリューションを提供している。特にモバイルアプリは、開発時のミス次第で攻撃者の突破口となり、企業システムの脅威となってしまうことから、世界各国のモバイルアプリを収集し、検証を行っているという。

　ベッティーニ氏は、日本で人気のあるゲームアプリの中から、面白いと感じたものをいくつか紹介した。その説明を基に、著者の独断と偏見で「開発ミスでやっちゃった系」「広告収入が欲しい系」「よく分からない系」に分類してみた。

開発ミスでやっちゃった系

「拡散性ミリオンアーサー」

　iOSアプリ（バージョン1.3.1）。RFC1918のプライベートIPアドレスで通信するため、社内の無線LANなどに入ってゲームをした場合に問題が生じる可能性がある。「たぶん、アプリ開発者が自社の開発環境でテストマシンにアクセスするとき、この設定を使っていた。それが残ったまま配信されてしまった」（ベッティーニ氏）。

「探検ドリランド by GREE」

　iOSアプリ（バージョン1.0.7）。開発者の名前や開発場所名がパスなどにしっかり残っている。

「不良道〜ギャングロード〜」

　iOSアプリ（バージョン2.6）。接続情報をDropboxに格納する。「当社の顧客から、企業内でのDropboxの利用を禁止したいと相談をよく受ける。対応策として、まずはDropboxアプリの削除を行う。しかし、こうしたアプリのように、DropboxのSDKが組み込まれているものも想像以上に多い」（ベッティーニ氏）。

広告収入が欲しい系

「Driland - Trading Card Game」

　Androidアプリ（バージョン1.0.18）。ユーザーのIMEI（端末識別番号）を含む端末情報を、107.20.158.229に送信する。また、端末内のインストール済みアプリを列挙する。「ユーザーの好みや人気アプリを調査するための挙動だが、こうした情報が外部に送信されていることは将来的なリスクにつながる」（ベッティーニ氏）

「ダークサマナー」

　iOSアプリ（バージョン1.02.00）。OpenFeintのRESTful APIが組み込まれている。スマートフォン向けのソーシャルアプリ対応プラットフォーム「OpenFeint」は広く普及しており、開発会社は2011年4月にGREEの子会社となっている（編集部注：グリーはOpenFeintのサービスを12月14日に終了することを発表、GREE Platformへの移行を促している）。問題は、OpenFeintプラットフォームのAPIでは認証を必要としない点だ。最近、Anonymousの一派のAntiSecが1200万近くのiOS UDIDを盗んだと発表した事件がある。このリストを使って、APIからOpenFientサーバにUDIDを問い合わせれば、UDIDを持つ端末の位置情報や最後に遊んだゲーム、アカウント名などが取得できてしまう。

「Pirates Age - Card Battle Game」（海賊王国コロンブス）

　Androidアプリ（バージョン1.1.5）。ユーザーのIMEIと端末情報をAmazon Web Servicesのデータセンターに送信する。これはプライバシー保護法に抵触する可能性がある。ベッティーニ氏いわく、現在アドネットワークは250近く存在し、いずれも何らかの形でデバイスから情報を収集しているという。一方で、アプリ提供側も広告表示率（fill rate）の高いアドネットワークを好み、積極的に組み込もうと考える。こうして、Google AdwordsやiAdsのほか、さまざまなアドネットワークに手を出し、最終的にはアプリに数十のアドネットワーク対応の広告配信向けSDKが組み込まれることになる。

よく分からない系

「UNO FREE」

　Androidアプリ（バージョン1.1.1）。読み取り／書き込み／実行の全権限を許可する「/system/bin/chmod 777」ディレクトリがあり、「which su」「which busybox」「su」の各種コマンドが実行できる。Jailbreak／ルート化されているかを検証するという、明らかにセキュリティ上問題のあるアプリ。

「関ヶ原演義」

　Androidアプリ（バージョン1.09）。暗号化にDESを利用し、秘密鍵をハードコーディングしている。乱数生成器に予測可能な文字列を挿入するなど、一般的な暗号化アルゴリズムが組み込まれている。

　ベッティーニ氏は、こうした挙動を示すアプリは無数に存在し、今回取り上げたものは氷山の一角に過ぎないと警告した。

　「どの国でも、アプリ開発者は皆似たようなミスを犯す。また、アプリ提供者は広告収入を上げるために、いかに利用者の情報を取得するかに腐心する。その結果、セキュリティ上問題のあるアプリが出来上がる」（ベッティーニ氏）。人的ミスや思惑に関わるこうした問題は、今後も続くと予想される。