10月版 Androidアプリに関する話題から目が離せない!
山本洋介山
bogus.jp
2011/11/9
10月は、先月紹介した「カレログ」に続き、AppLogやNTTドコモのメディアプレイヤーなど、Androidアプリのセキュリティやプライバシー問題に関する話題が目立った1カ月でした。一方で、三菱重工に続き、衆議院や国土地理院など省庁関連のサーバに対する侵入や攻撃も世間を騒がせ、こちらもタイムライン(TL)をにぎわせていました。そんな中での明るい話題といえば、「チームステゴマ2」の快挙でしょうか。
個人情報を送信するAppLogで持ち上がった大騒動
9月、「カレログ」というAndroidアプリが話題になりました。スマートフォンの位置情報を第三者に送信できることから、セキュリティベンダによってスパイウェア認定されるなど、TLでもずいぶんと物議を醸しました。
| 【関連記事】 「カレログ」をMcAfeeがスパイウェア認定 「信頼できない人とデバイスを共有しないで」(ITmedia News) http://www.itmedia.co.jp/news/articles/1109/05/news071.html |
10月になると今度は、「AppLog」というAndroidアプリ向けのサービスと、同じ会社が作成した「app.tv」というアプリが、それ以上の話題を呼びました。
ミログが提供していたAppLogというサービスは、他の開発者が作成したAndroidアプリにSDKとして組み込むことを想定したものです。このSDKが組み込まれたアプリは、インストールされた端末に関する情報を収集し、サーバに送信します。そのたびにアプリ開発者に報酬が支払われるという仕組みです。
ミログはおそらく、情報を送信した開発者には「報酬」が支払われ、AppLogは受け取った情報を基に広告配信できるという、両者が得をする仕掛けだと考えていたようでした。けれど、情報を収集される立場であるユーザーのことをほとんど考えていなかったことから大騒ぎとなりました。
TLでは、「AppLogでは、開発者にスパイウェアを組み込ませているのではないか」という疑惑が提起されました。この疑問に対し、ミログのCEOは「許諾がデフォルト送信オン(オプトイン)だったことはミスだった」とか、「プライバシーを考慮していないわけではない」とツイートを返していました。
しかし、アプリ開発者以外もアプリ利用者の属性を取得できたり、勝手にオプトイン状態に変更できてしまう脆弱性が発見されたりと、その後も問題が続出。同じくミログが開発し、配布していた「app.tv」という動画閲覧アプリにも、同じように情報を送信する仕組みが組み込まれていながら、利用者に対しその旨の説明がなかったことから、状況は一気に加速。「やはりユーザーのプライバシーを考えていない会社だ」と、非難を浴びるに至りました。
これだけの批判があるとサービスを続けるわけにもいきません。ミログは、AppLog、app.tvについては10月10日にはサービス停止、10月26日に正式に終了し、受け取ったデータもすべて破棄などの手順を取るというお知らせをリリースしました。
@yoheikiguchi
城口洋平(ミログCEO) 遅くなりましたが、ミログ社重大発表| AppLogSDKサービス終了のお知らせ http://t.co/39ceXrOR #applog
FavoriteRetweet
| 【関連リンク】 AppLog関係のまとめのまとめ http://tekitobibouroku.blog42.fc2.com/blog-entry-410.html |
ドコモのメディアプレイヤーの仕様でまたも大騒ぎ
AppLogに続いて今度は、まだ発売前だというのに、NTTドコモ製メディアプレイヤーの仕様が問題となりました。
NTTドコモの端末には「IMEI(International Mobile Equipment Identity)」という端末固有のIDが割り振られています。ところが、冬モデルのNTTドコモ端末に組み込まれる予定の公式メディアプレイヤーが、HTTP通信を行う際、このIDをサーバに送信すると公表したことが議論を呼びました。
@rocaz
ROCA つまり偽リンクでちょろっとメディア再生させればC/PはIMEIによる紐付けまで可能になった訳だ。しかもCookieと組み合わせスーパーCookieの出来上がり "メディアプレイヤーがHTTP通信を行う際は以下の拡張ヘッダが付与されます" http://t.co/2cn0k9Fh
FavoriteRetweet
なぜ問題かというと、IMEIとcookieを組み合わせて送信するなどすれば、端末の持ち主の嗜好などが明らかになってしまいます。また、これを認証に利用しているサーバがあれば、なりすましの危険まで生じます。こういった理由から、この仕様に反対する意見が多数ツイートされました。
ただ、「ケータイ」という閉じた携帯網では、固有IDの送信とプライバシーのつながりがよく理解されないまま、「かんたん認証」などの形で、IMEIに似た端末IDが使用されてきたという歴史があります。携帯アプリの開発者の中には、これのどこが問題なのか分からず発言した人もあり、TLは殺伐とした雰囲気となりました。
結局NTTドコモが、IMEIを送出するのは「メディアプレイヤーがPlayReadyのライセンス取得を行う通信の際」に限る形に仕様を変更したため、ひとまず騒動は終了した模様です。とはいえ、現物が現れた暁には、また問題が再燃するかもしれません。
| 【関連リンク】 NTT docomo IMEI垂れ流し問題(19日から20日午前6時まで) http://togetter.com/li/202536 スマートフォン(Android)向けにドコモがプリインするメディアプレイヤー(NTTドコモ) http://www.nttdocomo.co.jp/service/developer/smart_phone/service_lineup/music_movie/index.html |
その他にも、三井住友銀行の「すまーと収支」や、利用者の多い多機能ブラウザ「Dolphin Browser」など、端末やユーザーの挙動に関する情報を送信するアプリケーションが複数発見され、TLで報告されています。これからしばらくは、Android端末のセキュリティ問題から目が離せそうにありません。
HITB 2011のCTFでチームステゴマ2、ついに優勝
マレーシアでは毎年この時期に、「HITB」というセキュリティカンファレンスが開催されています。このカンファレンスではCapture The Flag(CTF)競技会を併催しており、3年前から「チームステゴマ2」も参加してきました。
ちなみに去年のチームステゴマ2は、一時期トップに立つなど優勝目前の勢いで、ツイートを見ている私のほうまでドキドキしていました。しかし、なぜか終了時間が1時間延長になるというアクシデントがあり、優勝を逃しただけでなく、最下位まで突き落とされたという苦い経験がありました。
今年のHITB CTFは10月12日からの開催ですが、参加者の方々が、マレーシアへ出発する前からちょくちょく状況をツイートしていました。
今年のステゴマ2は順調に得点を挙げ、ずっと上位をキープしていたとのこと。今回も終了時間が変わるなど運営に混乱があったようですが、逆転されることもなく、無事に優勝を決めました。セキュリティカンファレンスに併催されるような大きなCTFでの日本人チームの優勝は、これがたぶん初めてのことだと思います。これまでの苦労が実った初優勝、おめでとうございます!
今年のチームステゴマ2の道のりを振り返ると、CODEGATEの予選で1位、本選で4位、DEFCON予選で1位と、順調に戦果を挙げてきましたが、DEFCON本選では最下位と、世界の厚い壁に跳ね返されてしまいました。しかしそこでめげることなく、優勝という結果を残したのは素晴らしいことだと思います。
これまでの経緯を知っているセキュリティクラスタからも、祝福のツイートが多数流れました。来年のDEFCON本選での雪辱にも、大いに期待できそうですね。
| 【関連リンク】 チームステゴマ2の得点 http://twitpic.com/6zldlx |
政府への相次ぐ「サイバー攻撃」報道
先月、三菱重工業をはじめとする国防関連の企業に対する標的型攻撃が大々的に報じられましたが、10月に入り、今度は複数の政府機関が攻撃を受けていたことが続々判明しました。
衆議院議員会館が攻撃を受け衆院議員のパスワードが盗み取られたり、国土地理院が攻撃され攻撃の踏み台にされたり、在外公館がウイルスにやられてしまったり……と状況が明らかになるにつれ、テレビやラジオでは、「サイバー攻撃に対する日本の備えは大丈夫なのか」と、セキュリティに関する話題が盛んに取り上げられるようになっています。
一方セキュリティクラスタでは、一連の攻撃に大げさに憤慨する人は少なく、むしろ、報道を元に被害の違いなどを確認するなどの冷静な反応が目立ちました。海外に目を向ければ、政府機関や国防関連の企業への攻撃は頻繁に行われていること。いまさら驚くほどのことではなかったのかもしれません。
それよりも意外な盛り上がりを見せたのは、セキュリティクラスタに属する人のマスメディア露出についてです。一連のサイバー攻撃に関連したコメンテイターや解説者として、セキュリティクラスタに含まれる技術者やセキュリティ関連企業の方、元ハッカーなどが、テレビやラジオなどに頻繁に出演しました。
TLではまるでアイドルを追いかけるように「今日は○○さんが出演するよ」という情報が流れ、出演時にはリアルタイム実況や応援ツイートで盛り上がり、出演後には感想や裏話が流れるという、これまでにない新鮮な盛り上がり方が見られました。
@ymzkei5
やまざきkei5 いつもとちがう人が座っている気がするw RT @shoutman0515: テレビ朝日 報道ステーションナウ。生放送で、JSOCが放映予定です。
FavoriteRetweet
@tessy_jp
tessy 今日の夕方にラジオに出ることになった。慌てて内容チェックしてるところ。 私も一言!夕方ニュース − NHKラジオ第1http://t.co/NEue2akz
FavoriteRetweet
セキュリティクラスタ、10月の小ネタ
その他にも10月には以下のような話題がありました。来月はどのような出来事がTLを騒がせるのでしょうか。楽しみですね。
- またまたまたソニーが侵入される
- イケメンウイルス相談員コンテスト、脆弱性でグダグダ
- Facebookのパスワードが1万件以上流出!?
- セキュリティクラスタでもハッシュタグで遊ぶ人たちが増加中
- 認証用乱数表の数字を入力させるフィッシング詐欺が出現
| Profile |
| 山本洋介山 bogus.jp 猫と一緒に自宅の警備をする傍ら、「twitterセキュリティネタまとめ」というブログを日々更新しているtwitterウォッチャー。セキュリティやネットワークに関する原稿も書いてます。 |
| 2011年9月版へ |
 |
セキュリティクラスタまとめのまとめ 連載インデックス |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
