2017年上半期に南北アメリカで発生したサイバー攻撃の約20%は、モバイルを狙ったものでした。日頃からユーザは、データとプライバシーに影響を与えるセキュリティ・リスクを認識し、デバイスを保護するセキュリティ・ソフトウェアをインストールするよう注意喚起されています。しかし、もしアンチウイルス・ソリューションを信頼できないとしたら、またそのソリューションによってユーザのプライバシーが侵害されているとしたら、いったいどうすればいいのでしょうか。

最近、モバイル脅威を専門とするチェック・ポイントの研究者は、Android専門のアプリ開発業者DUグループが開発した無料のアンチウイルス・アプリが、デバイスの所有者の同意を得ずにユーザ・データを収集している事実を突き止めました。それはGoogleの公式アプリストア「Google Play」で配布されていたDU Antivirus Securityというアプリで、Google Playのデータによるとすでに1,000万~5,000万回ダウンロードされています。


図1:Google Playで公開されたDU Antivirus Security

チェック・ポイントで調査したところ、このアプリは初めて起動した時点で一意のID、連絡先のリスト、通話記録などの情報をデバイスから収集し、場合によってはデバイスの地理的位置まで把握することがわかりました。この情報は暗号化され、リモートのサーバに送信されます。この顧客情報を利用するのは、「Caller ID & Call Block – DU Caller」というDUグループの別のアプリです(電話の着信に関する情報をユーザに提供するアプリ)。

アプリを信用するユーザは個人情報を保護できると考えていましたが、DU Antivirus Securityはその期待を裏切って許可なくユーザの個人情報を収集し、ビジネスに利用していたのです。その情報には、誰とどのくらい通話したかなどの記録が含まれています。

チェック・ポイントはユーザの個人情報が不正に利用されている状況を2017年8月21日にGoogleに報告。3日後の8月24日にこのアプリはGoogle Playから削除されました。その後、8月28日には有害なコードを削除した新バージョンがGoogle Playにアップロードされています。個人情報を窃取するコードを実装したDU Antivirus Securityの最も新しいバージョンは3.1.5。それより古いバージョンにも、このコードが依然として含まれている可能性があります。

チェック・ポイントの研究者は、DU Antivirus Securityと同じコードを他にも30個のアプリで発見。そのうち12個はGoogle Playで見つかり、後に削除されています。それらのアプリはこの不正なコードをおそらく外部ライブラリとして実装し、DU Callerが使用する同じリモート・サーバに盗んだデータを送信していました。Google Playのデータによると、このコードを実装したアプリをインストールし影響を受けたユーザ数は、合わせて2,400万~8,900万人に上ります。

 

DU Antivirus Securityなどのアプリをインストールしている場合は、そのコードが含まれていない最新バージョンにアップグレードしているか確認する必要があります。

アンチウイルス・アプリには、通常より広範囲の許可を求める正当な理由があるため、そうした許可の悪用を狙う犯罪者にとっては絶好の隠れ蓑となります。また、アンチウイルス・アプリはマルウェアの感染を広める罠として使われる場合もあります。ユーザはそのような不審なアンチウイルス・ソリューションに注意し、モバイル・デバイスやその中のデータを確実に保護できる信頼性の高いベンダーを選んで、適切なモバイル脅威対策を導入する必要があるでしょう。

 

技術的な詳細情報:

DU Antivirus Securityは、初めて実行された時点でユーザのデバイスから情報を盗み取ります。取得した情報は、DUのアプリに登録されていないcaller.workというサーバに送信されます。ただし、このドメインには2つのサブドメインがあり、それらがDU Callerアプリとのつながりを示しています。まず、http://reg.caller.work/というサブドメインはPHPベースのWebページで、ホスト名の「 us02-Du_caller02.usaws02」にはDU Callerの名前が含まれています。

技術的な詳しい説明については、「チェック・ポイント サイバー攻撃トレンド 2017年上半期レポート」をご覧ください。

 

もう1つのサブドメイン「vfun.caller.work」はIP「47.88.174.218」でホストされていますが、これはドメイン「dailypush.news」もホストするプライベート・サーバです。このドメインが登録されている「zhanliangliu@gmail.com」という電子メール・アドレスは中国企業Baiduのスタッフのもので、この人物は同じアドレスを使い、電話番号の解析に関する投稿をネット上で行っていました(http://zliu.org/post/python-libphonenumber/)。DUはBaiduグループに属しており、投稿の内容がDU Callerの機能に関連していることから、盗まれた情報とDU Callerにはつながりがあると見ることができます。


図2:DU Antivirus SecurityとDU Callerの関係

DU Callerはプライバシー・ポリシーが曖昧でページごとに異なる用語が使われていたり、ユーザが同意するかどうかに関係なく操作が実行されたりするため、既に非難の的になっています。昨年も、Cheetah Mobileのアンチウイルス・アプリがプライバシー保護規定に違反するサービスを提供して同様の非難を浴びています。