連載
» 2016年06月07日 05時00分 公開

Androidセキュリティ技術の最前線(4):Androidアプリマーケットを守る「不正アプリ抽出技術」総解説 (3/4)

[森達哉(早稲田大学),@IT]

メタデータの解析によって得られるもの

 では次に、アプリ本体ではなく「メタデータ」を解析することで何が得られるかについて解説しよう。ユーザーがアプリケーションをインストールする際に参考にするのは、APKファイルではなくメタデータである。従って、メタデータに含まれる情報は、ユーザーのアプリに対する認知や期待に何らかの影響を与えていると考えられる。図1に示したように、メタデータは「開発者が提供する情報」と「ユーザーが生成する情報」に分けられる。以下では、マーケットから収集したメタデータの解析例を示す。

 図1(再掲) マーケットで収集可能な情報 図1(再掲) マーケットで収集可能な情報

1.アプリの説明文と挙動の食い違いを分析

 第2回で取り上げたように、開発者が提供するアプリの説明文と実際のアプリの挙動に乖離(かいり)が見られる場合、そのアプリを不審なアプリとして抽出することができる。さらに、乖離の原因を探ることにより、説明文の適切な加筆修正や、不要な挙動(コード)の除去につなげることができる。

 そのようなアプローチを採用した手法の1つとして、筆者らもACODEというフレームワークを開発している。ACODEは、自然言語処理と機械学習による説明文の解析とAPKファイルの静的解析を組み合わせることにより、説明文と挙動に齟齬(そご)がみられるアプリを自動的に抽出する。

 このACODEを公式、サードパーティーマーケットから収集した20万個のアプリに適用した実験では、アプリを手軽に作成できるクラウドサービスを使った際に不要なパーミッションとコードが追加されるケースや、サードパーティーライブラリによるAPIアクセスが行われるケースなど、開発者がコードを書く際に意識しない(できない)要因に基づいて齟齬が発生することが判明した。このような齟齬を生み出す原因への対策を進めることで、ユーザーがアプリの説明文から読み取る内容と、実際のアプリの挙動を近づけることができるはずだ。

参考文献、リンク

Understanding the Inconsistencies between Text Descriptions and the Use of Privacy-sensitive Resources of Mobile Apps』,T. Watanabe他,Proceedings of Symposium on Usable Privacy and Security(SOUPS 2015),pp. 241–255,2015年7月

 アプリの説明文を実際の挙動に近づける試みとしては、シラキュース大学のMu Zhang氏らが2015年に開発した「DescribeMe」と呼ばれるシステムがある。DescribeMeはAPKファイルに静的解析を適用し、得られた解析結果からセキュリティに関する挙動の説明文を自動生成することができる。

参考文献、リンク

Towards Automatic Generation of Security-Centric Descriptions for Android Apps』,Mu Zhang他,Proceedings of the 22nd ACM Conference on Computer and Communications Security(CCS'15),2015年10月

2.プライバシーポリシーの提示状況の把握

 ユーザーがインストールしようとしているアプリがどのような個人情報を収集し、それらの情報をどのように扱うかを知る手段の1つは、開発者が提示する「プライバシーポリシー」を確認することである。産総研(産業技術総合研究所)の一瀬小夜氏らのチームによる2013年の報告では、Google Playから抽出した無料/有料アプリ200個を対象にプライバシーポリシーの提示状況を調査した結果、適切なプライバシーポリシーを掲載していたアプリは2割程度にとどまっていたとされている。

参考文献、リンク

スマホアプリにおけるアプリケーション・プライバシーポリシー掲載の現状調査』,一瀬小夜他,情報処理学会研究報告,Vol.2013-CSEC-62,No.62,pp.1-7,2013年7月

 また、同様の調査を継続的に実施している総務省主導のスマートフォン アプリケーション プライバシーポリシー普及・検証推進タスクフォースによる最新の報告書「スマートフォン プライバシー アウトルックIII」では、2015年10月時点で上位に入っている人気アプリのプライバシーポリシー掲載率は、約80%にまで向上していることが公表されている。また、公式マーケットの特定のカテゴリーに分類されるアプリに対してプライバシーポリシー提示を義務化したことが、一定の効果を上げたと報告されている。このような調査の継続により、開発者のみならずユーザーへの啓蒙が促進されることが期待される。

 ユーザーの視点からプライバシーポリシーに対する認知を調査した例もある。カリフォルニア州立大学バークレイ校のErika Chin氏らの報告では、認知科学的アプローチによる被験者実験の結果、Androidユーザーの約80%はアプリのインストール時に全くプライバシーポリシーを考慮しないとされている。

参考文献、リンク

Measuring user confidence in smartphone security and privacy』,E. Chin他,Proceedings of Symposium on Usable Privacy and Security(SOUPS),2012年

 アプリ開発者がプライバシーポリシーの提供を強化するだけでなく、提供された情報をユーザーが適切に活用するためには、どのようなユーザーインタフェースが有効であるかを考え、OS、アプリあるいはマーケットに実装していくことも必要となる。また、セキュリティ・プライバシーに関するユーザーの教育機会を充実させることも重要だろう。

3.ユーザーによるレーティングやレビュー情報をセキュリティ対策に応用

 マーケット上で公開されるアプリの「レーティング」や「レビュー」は、他のユーザーがアプリを選択する際に参考となる情報の1つである。例えば、レビュー情報に「感情分析」の手法を適用することによって、ユーザーの満足/不満足が何に起因しているかを特定することができる。こうしたレビュー情報の分析は、セキュリティやプライバシーの問題にも応用できる。例えば、パデュー大学のLei Cen氏らは、レビュー情報からセキュリティ・プライバシーに関するコメントを機械学習の手法で抽出する技術を開発している。こうして抽出したコメントの内容を詳細に分析することで、セキュリティ・プライバシーへの対策に応用することができる。

参考文献、リンク

User comment analysis for Android apps and CSPI detection with comment expansion』,L. Cen氏,Proceeding of the 1st International Workshop on Privacy-Preserving IR(PIR),pp. 25-30,2014年

 また、レビュー情報には偽の情報も含まれることがある。複数のレビュー者が“共謀”すれば、アプリのレビューを意図的に操作し、悪性アプリの評判を高めてユーザーを誘導するなどの用途に用いられる可能性がある。このような偽のレビュー情報の問題に対して、筆者らはレビューの内容とレビュー対象アプリの類似性から、共謀の可能性が高い不自然なレビュー者のグループを抽出する技術を開発している。

参考文献、リンク

Androidアプリストアにおける不自然なレーティング・レビューの解析』,孫博他,コンピュータセキュリティシンポジウム2015論文集,vol. 2015,No. 3,pp. 655-662,2015年10月

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。