GoogleがAndroidプラットフォーム向けに提供しているアプリストアの「Android Market」で、銀行のバンキングアプリを装ったフィッシングアプリが登録されていたことが判明し問題になっている。無審査での登録が可能な自由度が売り物な半面、こうした事態が起こる可能性を常に秘めている。審査の厳格さで有名なAppleのApp Storeと合わせ、どのような運営スタイルが望ましいかの議論が進みそうだ。

アプリが充実してきたAndroid Market。数が集まれば、問題が起こるのは仕方がない?

今回の件については、フィンランドのセキュリティ企業F-Secureが1月11日(現地時間)に報告している。それによれば、複数の有料バンキングアプリがAndroid Market内に登録されていたが、それらは当該の銀行によって登録または認証されたアプリではなく、挙動や安全性が不明のため、同Market内から一斉に削除されたという。これらアプリはすべて「09Droid」というデベロッパーによって登録されており、アプリの名称やアイコンには銀行名やロゴが利用されていたが、当該の銀行はまったく関知していなかった。例えば、今回の09Droid被害者の1つであるFirst Tech Credit Unionでは顧客向けの通知を出しており、自身はAndroid向けのアプリはいっさい出しておらず、今回のはフィッシングアプリであると断定している。これらをインストールしたユーザーはすぐに端末からデータを削除するようアドバイスしている。

F-Secureによれば、このような形で09Droidが登録したバンキングアプリの数は40近くに達するという。First Tech Credit Unionの件も含め、最初に問題が発覚したのは先月のことだが、ここまで大掛かりなフィッシング行為だったということに驚きの声が上がっている。購入したはずのアプリが突然削除されたことに混乱しているユーザーもいるものの、このフィッシングアプリを通して入力した情報が抜き出されている可能性があるため、購入したユーザーはデータの完全削除と同時に、銀行アカウントのパスワード変更等をすぐに行うことが推奨されている。

7割が開発者、3割が運営サイトという配分で誰もが有料アプリを登録できる自由さがセールスポイントだったAndroid Marketだが、この自由度が逆に裏目になった形だ。Android MarketではGoogle名義のアプリ以外の動作は保証しておらず、残りはすべてユーザーの自己責任での対応が利用規約に明記されている。とはいえ、こうしたリスクを把握しているユーザーはそれほど多くないとみられるため、改めて注意する必要がありそうだ。一方で、その基準や審査方法がたびたび議論になるほど登録作業が厳しいことで知られるAppleのApp Storeだが、こうした問題での安全度は高いといえるだろう。アプリストアの運営について、改めさせて考えさせられる問題だ。