10月版 Androidアプリに関する話題から目が離せない!


山本洋介山
bogus.jp

2011/11/9

 10月は、先月紹介した「カレログ」に続き、AppLogやNTTドコモのメディアプレイヤーなど、Androidアプリのセキュリティやプライバシー問題に関する話題が目立った1カ月でした。一方で、三菱重工に続き、衆議院や国土地理院など省庁関連のサーバに対する侵入や攻撃も世間を騒がせ、こちらもタイムライン(TL)をにぎわせていました。そんな中での明るい話題といえば、「チームステゴマ2」の快挙でしょうか。

個人情報を送信するAppLogで持ち上がった大騒動

 9月、「カレログ」というAndroidアプリが話題になりました。スマートフォンの位置情報を第三者に送信できることから、セキュリティベンダによってスパイウェア認定されるなど、TLでもずいぶんと物議を醸しました。

【関連記事】
「カレログ」をMcAfeeがスパイウェア認定 「信頼できない人とデバイスを共有しないで」(ITmedia News)

http://www.itmedia.co.jp/news/articles/1109/05/news071.html

 10月になると今度は、「AppLog」というAndroidアプリ向けのサービスと、同じ会社が作成した「app.tv」というアプリが、それ以上の話題を呼びました。

 ミログが提供していたAppLogというサービスは、他の開発者が作成したAndroidアプリにSDKとして組み込むことを想定したものです。このSDKが組み込まれたアプリは、インストールされた端末に関する情報を収集し、サーバに送信します。そのたびにアプリ開発者に報酬が支払われるという仕組みです。

 ミログはおそらく、情報を送信した開発者には「報酬」が支払われ、AppLogは受け取った情報を基に広告配信できるという、両者が得をする仕掛けだと考えていたようでした。けれど、情報を収集される立場であるユーザーのことをほとんど考えていなかったことから大騒ぎとなりました。

 TLでは、「AppLogでは、開発者にスパイウェアを組み込ませているのではないか」という疑惑が提起されました。この疑問に対し、ミログのCEOは「許諾がデフォルト送信オン(オプトイン)だったことはミスだった」とか、「プライバシーを考慮していないわけではない」とツイートを返していました。

 しかし、アプリ開発者以外もアプリ利用者の属性を取得できたり、勝手にオプトイン状態に変更できてしまう脆弱性が発見されたりと、その後も問題が続出。同じくミログが開発し、配布していた「app.tv」という動画閲覧アプリにも、同じように情報を送信する仕組みが組み込まれていながら、利用者に対しその旨の説明がなかったことから、状況は一気に加速。「やはりユーザーのプライバシーを考えていない会社だ」と、非難を浴びるに至りました。

 これだけの批判があるとサービスを続けるわけにもいきません。ミログは、AppLog、app.tvについては10月10日にはサービス停止、10月26日に正式に終了し、受け取ったデータもすべて破棄などの手順を取るというお知らせをリリースしました

遅くなりましたが、ミログ社重大発表| AppLogSDKサービス終了のお知らせ http://t.co/39ceXrOR #applog
Oct 26 via Tweet ButtonFavoriteRetweetReply


【関連リンク】
AppLog関係のまとめのまとめ

http://tekitobibouroku.blog42.fc2.com/blog-entry-410.html

ドコモのメディアプレイヤーの仕様でまたも大騒ぎ

 AppLogに続いて今度は、まだ発売前だというのに、NTTドコモ製メディアプレイヤーの仕様が問題となりました。

 NTTドコモの端末には「IMEI(International Mobile Equipment Identity)」という端末固有のIDが割り振られています。ところが、冬モデルのNTTドコモ端末に組み込まれる予定の公式メディアプレイヤーが、HTTP通信を行う際、このIDをサーバに送信すると公表したことが議論を呼びました。

つまり偽リンクでちょろっとメディア再生させればC/PはIMEIによる紐付けまで可能になった訳だ。しかもCookieと組み合わせスーパーCookieの出来上がり "メディアプレイヤーがHTTP通信を行う際は以下の拡張ヘッダが付与されます" http://t.co/2cn0k9Fh
Oct 18 via SaezuriFavoriteRetweetReply

 なぜ問題かというと、IMEIとcookieを組み合わせて送信するなどすれば、端末の持ち主の嗜好などが明らかになってしまいます。また、これを認証に利用しているサーバがあれば、なりすましの危険まで生じます。こういった理由から、この仕様に反対する意見が多数ツイートされました。

 ただ、「ケータイ」という閉じた携帯網では、固有IDの送信とプライバシーのつながりがよく理解されないまま、「かんたん認証」などの形で、IMEIに似た端末IDが使用されてきたという歴史があります。携帯アプリの開発者の中には、これのどこが問題なのか分からず発言した人もあり、TLは殺伐とした雰囲気となりました。

 結局NTTドコモが、IMEIを送出するのは「メディアプレイヤーがPlayReadyのライセンス取得を行う通信の際」に限る形に仕様を変更したため、ひとまず騒動は終了した模様です。とはいえ、現物が現れた暁には、また問題が再燃するかもしれません。

【関連リンク】
NTT docomo IMEI垂れ流し問題(19日から20日午前6時まで)

http://togetter.com/li/202536
スマートフォン(Android)向けにドコモがプリインするメディアプレイヤー(NTTドコモ)
http://www.nttdocomo.co.jp/service/developer/smart_phone/service_lineup/music_movie/index.html

 その他にも、三井住友銀行の「すまーと収支」や、利用者の多い多機能ブラウザ「Dolphin Browser」など、端末やユーザーの挙動に関する情報を送信するアプリケーションが複数発見され、TLで報告されています。これからしばらくは、Android端末のセキュリティ問題から目が離せそうにありません。

HITB 2011のCTFでチームステゴマ2、ついに優勝

 マレーシアでは毎年この時期に、「HITB」というセキュリティカンファレンスが開催されています。このカンファレンスではCapture The Flag(CTF)競技会を併催しており、3年前から「チームステゴマ2」も参加してきました。

 ちなみに去年のチームステゴマ2は、一時期トップに立つなど優勝目前の勢いで、ツイートを見ている私のほうまでドキドキしていました。しかし、なぜか終了時間が1時間延長になるというアクシデントがあり、優勝を逃しただけでなく、最下位まで突き落とされたという苦い経験がありました。

 今年のHITB CTFは10月12日からの開催ですが、参加者の方々が、マレーシアへ出発する前からちょくちょく状況をツイートしていました。

 今年のステゴマ2は順調に得点を挙げ、ずっと上位をキープしていたとのこと。今回も終了時間が変わるなど運営に混乱があったようですが、逆転されることもなく、無事に優勝を決めました。セキュリティカンファレンスに併催されるような大きなCTFでの日本人チームの優勝は、これがたぶん初めてのことだと思います。これまでの苦労が実った初優勝、おめでとうございます!

sutegoma2として参戦して3年目。優勝できてよかった。今年のHITB CTFは、競技スタイルが変わったというのもありますが、参加メンバーだけでなくサポートやいろいろと応援をしていただいた皆さまのおかげです。
Oct 13 via TwitBirdFavoriteRetweetReply

 今年のチームステゴマ2の道のりを振り返ると、CODEGATEの予選で1位本選で4位DEFCON予選で1位と、順調に戦果を挙げてきましたが、DEFCON本選では最下位と、世界の厚い壁に跳ね返されてしまいました。しかしそこでめげることなく、優勝という結果を残したのは素晴らしいことだと思います。

 これまでの経緯を知っているセキュリティクラスタからも、祝福のツイートが多数流れました。来年のDEFCON本選での雪辱にも、大いに期待できそうですね。

@tessy_jp にすれば6年越しの挑戦ですね。6年前、彼はHITB の CTFエリアをうらやましそうに外からながめてるだけでした。早かったのか長かったのか。目がうるうるしてました
Oct 13 via webFavoriteRetweetReply


【関連リンク】
チームステゴマ2の得点

http://twitpic.com/6zldlx

政府への相次ぐ「サイバー攻撃」報道

 先月、三菱重工業をはじめとする国防関連の企業に対する標的型攻撃が大々的に報じられましたが、10月に入り、今度は複数の政府機関が攻撃を受けていたことが続々判明しました。

 衆議院議員会館が攻撃を受け衆院議員のパスワードが盗み取られたり、国土地理院が攻撃され攻撃の踏み台にされたり、在外公館がウイルスにやられてしまったり……と状況が明らかになるにつれ、テレビやラジオでは、「サイバー攻撃に対する日本の備えは大丈夫なのか」と、セキュリティに関する話題が盛んに取り上げられるようになっています。

 一方セキュリティクラスタでは、一連の攻撃に大げさに憤慨する人は少なく、むしろ、報道を元に被害の違いなどを確認するなどの冷静な反応が目立ちました。海外に目を向ければ、政府機関や国防関連の企業への攻撃は頻繁に行われていること。いまさら驚くほどのことではなかったのかもしれません。

 それよりも意外な盛り上がりを見せたのは、セキュリティクラスタに属する人のマスメディア露出についてです。一連のサイバー攻撃に関連したコメンテイターや解説者として、セキュリティクラスタに含まれる技術者やセキュリティ関連企業の方、元ハッカーなどが、テレビやラジオなどに頻繁に出演しました。

 TLではまるでアイドルを追いかけるように「今日は○○さんが出演するよ」という情報が流れ、出演時にはリアルタイム実況や応援ツイートで盛り上がり、出演後には感想や裏話が流れるという、これまでにない新鮮な盛り上がり方が見られました。

いつもとちがう人が座っている気がするw RT @shoutman0515: テレビ朝日 報道ステーションナウ。生放送で、JSOCが放映予定です。
Oct 07 via TweenFavoriteRetweetReply

今日の夕方にラジオに出ることになった。慌てて内容チェックしてるところ。 私も一言!夕方ニュース − NHKラジオ第1http://t.co/NEue2akz
Oct 06 via TweetDeckFavoriteRetweetReply


セキュリティクラスタ、10月の小ネタ

 その他にも10月には以下のような話題がありました。来月はどのような出来事がTLを騒がせるのでしょうか。楽しみですね。

  • またまたまたソニーが侵入される
  • イケメンウイルス相談員コンテスト、脆弱性でグダグダ
  • Facebookのパスワードが1万件以上流出!?
  • セキュリティクラスタでもハッシュタグで遊ぶ人たちが増加中
  • 認証用乱数表の数字を入力させるフィッシング詐欺が出現
Profile
山本洋介山
bogus.jp

猫と一緒に自宅の警備をする傍ら、「twitterセキュリティネタまとめ」というブログを日々更新しているtwitterウォッチャー。セキュリティやネットワークに関する原稿も書いてます。

2011年9月版へ    

Twitterセキュリティクラスタ まとめのまとめ 2月版 バックナンバー


セキュリティクラスタまとめのまとめ 連載インデックス

@IT Special

- PR -

TechTargetジャパン

Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

イベントカレンダー

PickUpイベント

- PR -

アクセスランキング

もっと見る

ホワイトペーパーTechTargetジャパン

注目のテーマ

Security & Trust 記事ランキング

本日 月間
ソリューションFLASH