米グーグルは、携帯電話向け基本ソフト（ＯＳ）アンドロイドを搭載したスマートフォン（高機能携帯電話）にインストールされたソフトウェアが外部に個人情報を送っていたことを受け、オンライン・ストアの安全性をより確実にするよう迫られている。




[You must be registered and logged in to see this image.]






Associated Press













　コンピューター・セキュリティーの専門家らが先週、50余りの悪意のあるアプリケーションがアンドロイド・マーケットにアップロードされ、さらにユーザーに配信されたことを突き止め、グーグルは批判の矢面に立った。



　グーグルはアプリの審査を行っていないが、一部専門家は、ユーザーへのアプリ提供前に、同社が安全性をより確実にする必要があることを今回の問題は浮き彫りにしている、と指摘する。



　グーグルはアプリの評価や、アプリの問題に関する警告の発動をユーザーにおおむね委ねている。同社はまた、アプリによる個人情報へのアクセスに同意する
よう顧客に求めている。しかし、コンピューター・セキュリティー会社ベラコードのクリス・ワイソパル最高技術責任者によると、このアプローチは十分ではな
い。ワイソパル氏は自身のブログで、「顧客によるダウンロードが可能になる前のアプリの審査にもっと真剣に取り組む必要がある」との見方を示した。



　グーグルの広報担当者は、58の悪意のあるアプリがアンドロイド・マーケットにアップロードされ、その後約26万台の携帯電話にダウンロードされた、と明らかにした。どれだけのユーザーがアプリを起動したかは明らかでないという。



　米アップルやカナダのリサーチ・イン・モーションと異なり、グーグルはオンライン・ストアにアップロードされるアプリを審査・承認する従業員を擁していない。グーグルは、ポリシーに抵触するアプリは排除し、違反者を特定する社内手段がある、と表明している。



　セキュリティー専門家は、すべての携帯ＯＳは同様の攻撃にさらされている、と指摘する。アップルは過去に、ユーザーの許可なく外部の組織に個人情報を送るアプリの存在に気づき、これらをアップストアから排除したことがある。



　今回、問題が明らかになったアプリは3つの開発業者の合法製品の改ざん品で、「ドロイドドリーム」と呼ばれる悪質なコードを含んでいる。このコードは、ユーザーの携帯電話のＩＭＳI（国際移動電話加入者識別番号）を含む個人情報を外部に漏らす可能性が指摘されている。



　携帯電話セキュリティー業者のルックアウトによると、こうした悪意のあるソフトウェアは、午後11時から午前8時の間に作動するよう設計されているため、ユーザーは通常と異なる動作に気づき難い。


　前述のワイソパル氏によると、アンドロイドを搭載する古いタイプの携帯電話にインストールされた悪意のある
ソフトウェアは、ルートパーミッションを獲得することで、アンドロイド・マーケット以外のソースからも悪質なソフトウェアをダウンロードするようになる危
険性がある。専門家らは、改ざんされたアンドロイドのプログラムがそのような動作をするのを見るのは初めてのことだ、と述べた。


　グーグルのアンドロイド・セキュリティー・チームの責任者、リック・カニング氏は5日、会社のブログで、問
題のあるアプリをアンドロイド・マーケットから排除した、と明らかにした。同氏はさらに、影響を受けた端末から、遠隔操作でソフトウェアを除去したうえ
で、攻撃に関連しているとみられる開発業者のアカウントを凍結し、法執行機関に問題を報告した、と表明した。]