Baiduのアプリからスマホ機微情報漏えいか アメリカのサイバーセキュリティチームが指摘

 中国の大手検索企業のBaidu(百度、本部・北京市)が提供しているAndroid向けのスマホアプリから機微情報が漏れている可能性があるとのレポートが最近、アメリカのサイバーセキュリティチームによって発表された。BaiduはかつてPC向けに無償提供していた日本語入力ソフトで打ち込んだ文字情報を利用者に無断で同社サーバーに送信していたとして日本国内で問題になったこともある。

SIMカードに記録されているIMSIデータ

 レポートを発表したのはサイバーセキュリティのパロアルトネットワークス(本部・米カリフォルニア州)の脅威分析チーム・ユニット42。レポートによると、同チームがアメリカのGoogle Playストアで利用可能なアプリを機械学習ベースのスパイウェア検出システムを使って調査したところ、Baidu Search BoxとBaidu mapsからスマホのデータが漏えいする可能性のあることがわかったという。このアプリはアメリカにとどまらず全世界で配布されており影響を受けるユーザーは推定14億人にも及ぶという。一般にスマホのデータ漏えいというと電話帳のデータだったりGPSデータなどを連想しがちだが、このレポートで取り上げているのは、IMSIとかIMEIなど一般にあまり馴染みのない難解なものばかり。なので、そんなデータが漏えいしたからといってどんな意味があるのか?と思われるかもしれない。

Google Playストアで提供されているBaidu の地図アプリ

 しかし、IMSIはスマホのSIMカードに記録されているデータで、このデータが漏えいすると、スマホユーザーを識別・追跡することが可能となり、たとえユーザーがスマホを変えて電話番号を新しくしても追跡されてしまう可能性があるのだという。また、IMEIはスマホの製造日や仕様などの情報を示すデータだという。パロアルトネットワークスは、IMSIのデータがサイバー犯罪者の手に渡ると、ユーザーのプロファイルが作成され、電話やテキストメッセージが傍受される可能性もあると指摘している。パロアルトネットワークスは調査結果をBaiduやGoogleに通知し、Googleは独自に調査を行った結果をもとにBaidu Search BoxとBaidu mapsをグローバルのGoogle Playストアから削除、その後、Baidu Search Boxは再リリースされているようだ。

公式ストアに不正アプリが紛れこんでいる

 Baiduは2013年にはPC向けの日本語入力ソフト(IME)の文字情報を同社サーバーに送信していることが明るみになり問題になったことがあった。IMEはinput method editorの略で、キーボードで文字を打つ時にローマ字をひらがなに変換したり、ひらがなをカタカナに変換したりするものだ。BaiduのIMEを使うとキーボードで打った文章がすべてBaiduのサーバーに送信され、結果、キーボードで打った主要な書類がすべてBaiduに筒抜けになってしまうということで、日本国内で大きな問題になった。今回のパロアルトネットワークスの調査結果について、Baiduの日本法人、Baidu  Japanに確認したところ「中国本社が提供しているサービスのためBaidu  Japanには回答する権限がない。中国本社に問い合わせて欲しい」とのことだった。

 パロアルトネットワークスの今回の調査の主眼はアメリカのGoogle Playストアで提供されているアプリのセキュリティ検証にあり、その結果、漏えいの可能性のあるアプリとして、Baiduの2つのアプリが指摘されたわけだが、他にHomestylerというアプリについても漏えいの可能性を指摘している。これはインテリアやデザイン系のアプリで日本のGoogle Playストアでも提供されているようである。Baiduのアプリにとどまらずアプリのセキュリティ上のリスクは少なからず散見され、Google Playストアのような審査を受けて提供されているアプリについてもリスクがあることをパロアルトネットワークスの調査結果は示している。

 「人気のゲームや便利なツールを装ったり、偽のセキュリティアプリなど多くの不正アプリをこれまで確認してきました。こうしたアプリの多くは非公式のマーケットで見られますが、Google PlayやアップルのApp Storeなどの公式マーケットも例外ではありません」とサイバーセキュリティベンダーのトレンドマイクロ(本部・東京都渋谷区)の担当者は言う。同社では過去にGoogle Play上でボイスメッセンジャーやカメラ、ゲームアプリなどに偽装したAndroid端末向けの不正アプリが複数公開されていることを確認したケースがあるほか、家計簿アプリに偽装したiOS端末向けの不正アプリも確認している。トレンドマイクロでは「公式ストアでも不正アプリに注意する必要があります。セキュリティソフトなどの技術的な対策に加えて、不正な手口を知り、アプリをインストールする前にレビューや開発元の評判を確認し、権限についても確認することが重要です」と話している。

(編集部)

■参考

https://unit42.paloaltonetworks.com/android-apps-data-leakage/

https://www.techradar.com/news/baidu-maps-could-have-leaked-details-of-millions-of-users?utm_medium=email&_hsmi=101021950&_hsenc=p2ANqtz-9VAZCSDxJotd8DVuSI9iKI6xKECtzcK9ihKKQnkwefTa84rMKOo3fgcd2JvG-VPLVHhaz9xDasmaLK7mXCJACTHnJOXg&utm_content=101021950&utm_source=hs_email

https://www.cyberscoop.com/baidu-maps-search-app-data-google/

https://gigazine.net/news/20201125-android-apps-collecting-sensitive-data/

https://www.nikkei.com/article/DGXNASDG2600W_W3A221C1CC0000

コメントを残す

メールアドレスが公開されることはありません。

CAPTCHA