気をつけようね。

・スマホ＝携帯PC（パソコン）
・ガラケー＝携帯電話（電話）

////てか怖・・・。iphoneでよかた。　

（アンドロイド）スマホアプリで数百万人分の個人情報流出か　警視庁が調査

スマートフォン（高機能携帯電話、スマホ）に入れると、スマホに登録された電話番号などを無断で外部に送信するアプリ（応用ソフト）が出回り、これまでに数百万人の個人情報が流出した恐れがあることが１４日、情報セキュリティー会社「ネットエージェント」（東京）への取材で分かった。警視庁は事実関係の調査を始めた。

　アプリはインターネット上のサイトから無料配布されており、ネットエージェント社は、最大で２７万回ダウンロードされ、延べ数十万から数百万人分の電話番号やメールアドレス、電話帳の個人名や電話番号などの個人情報が流出した可能性があるとみている。

　同社によると、問題になっているのは、人気ゲームなどを紹介する動画再生のアプリで、これまでに１６種類が確認されている。いずれも米グーグル社の基本ソフトウエア（ＯＳ）「アンドロイド」が搭載された端末用だった。

　アプリには「ウォーリーを探せ　ｔｈｅ　Ｍｏｖｉｅ」「スヌーピーストリート　ＴＨＥ　ＭＯＶＩＥ」など、実際には関係ない人気キャラクターやゲーム関連の名前などが付けられ、起動すると、スマホに登録された情報を、勝手に外部サーバーに送る機能が組み込まれていた。

　情報はいったん国内の同一サーバーに送られていたが、最終的にどこに送信されているかは不明という。アプリの作成者として「ｔｓｕｎａｋａｎ」「ｈａｍｎａｒｕｋａ」などの名前が記されていた。

　アプリはサイト上から１３日に削除された。同社は「スマホに入れた人はすぐに削除してほしい」と呼びかけている。

動画再生を装って個人情報を外部送信、ほかにも存在する可能性

個人情報を外部に送信する日本語のAndroidアプリに注意

2012/04/13

　動画再生アプリを装ってバックグラウンドで電話番号などの個人情報を収集し、外部のサーバに送信するAndroidアプリが存在するとして、セキュリティ専門家が注意を呼び掛けている。

　これらのアプリに対する疑念がTwitterで浮上したのは4月11日。「○○（人気アプリの名前）the Movie」という名称で、グーグルの公式アプリサイト「Google Play」で配布されていたアプリが、電話帳内のデータなどを読み取り、外部に送信していると指摘された。

　解析を行ったネットエージェント 代表取締役社長の杉浦隆幸氏によると、これらのアプリは、オリジナルのアプリを動作させた動画を再生しつつ、インストールされた端末の電話番号、Android_ID、名前、さらに電話帳に登録してある名前と電話番号、メールアドレスを収集し、外部のサーバに送信していた。アプリをインストールする際には、「READ_CONTACTS」などのパーミッションの利用を求めてくるという。

　こうしたアプリは確認されただけで16種類あった。Google Playに表示されていたアプリのダウンロード数は6万6600～27万1500件。仮に、アプリをインストールした端末の連絡先に50件分の情報が保存されていたとすれば、数百万件から数千万件の個人情報が勝手に送付されていた可能性があるという。なお、送信先の「depot.bulks.jp」のサーバならびに配布元は、現在は閉鎖されている。

　これらのアプリの手口は典型的なソーシャルエンジニアリングで、正規のアプリであるかのように見せかけ、ユーザーをだましてインストールさせる。Android OSの脆弱性を悪用するものではなく、Android向けのウイルス対策ソフトでは検出できなかったという。

　このため、海賊版のように見える不審なアプリではないことを確認し、インストール時にアプリが求めてくるパーミッションに注意するなどして自衛するしかない。だが杉浦氏によると、今回検証した不審なアプリの中には、5段階評価で4という高い評価が付いているものもあった。また、AdMobなどの広告が組み込まれている場合、正規のアプリでも多くのパーミッションが要求されることもあり、見分けるのは難しい。「これ、という対策は残念ながら存在しない」（杉浦氏）。

　正規のアプリと見せかけて裏側で個人情報を収集するこの種のアプリは、ほかにも存在する可能性が高い。「特に、会社で業務として利用している場合は注意が必要」（杉浦氏）という。