QRコードは、デンソーウェーブが規格を作り、広く普及している二次元バーコードの名称です。認識精度が高く、情報量も多いため、多くの場面で活用されています。ポスターなどの片隅にWebサイトへ誘導するQRコードが印刷されることも当たり前になり、最近ではQRコードを使って決済を行う仕組みが海外で活用されています。iOSでも標準のカメラアプリがQRコードリーダーとして使えるようになったので、大変便利です。
しかし、そこに問題が発生します。アララが提供するQRコードメーカーで「アクセス解析機能付き」のQRコードを作成し、同社がデンソーウェーブの協力の下で提供する「公式QRコードリーダー“Q”」で読み取らせると、ユーザーの位置情報やIPアドレスを収集することが明らかになりました。“Q”は、確かに初回起動時に位置情報の利用を許可するかどうかをユーザーに聞きます。しかし、それは決して「位置情報を誰かに送信することを許可するかどうか」という意味にはならないはずです。
(参考)
「それ、定義上はスパイウェアでは……?」
もし、自分のWebサイトの閲覧履歴を勝手に読み取られ、外部に送信されていたら……? もう一つ、アプリ作成者がユーザーに黙って情報を情報を収集していた事件が発生します。Mac App Storeに登録されていたアドウェア(注)対策の有料アプリ「Adware Doctor」が、ユーザーのWeb閲覧履歴を外部のサーバに送信していたというものです。
注:ブラウザなどに広告を表示するプログラムのこと。無料アプリやWebサイトで使われる。一部はユーザーに無断でインストールされ、Webサイト訪問履歴や個人情報を収集するものもあることから、マルウェアと見なされる。
その後、同様に不正に情報を送信しているアプリとして、「Dr. Cleaner」「Dr. Antivirus」「Dr. Unarchiver」などの名前が挙げられます。これらが実は、著名セキュリティベンダーのトレンドマイクロが作成したものであることが明らかになりました。
なお、AppleのMac App StoreおよびApp Storeからは、同社のアプリが全て削除されています(本稿執筆時点)。こうしたアプリはセキュリティベンダーが定義するところの「スパイウェア」ですので、もしそうであれば、Appleとしてもかなり強い“制裁”を行わざるを得ないのも納得できるかもしれません。
【訂正:2018年9月19日15時10分 「その結果」という表記を「なお」に訂正しました。また、「Appleとしてもかなり強い“制裁”を行わざるを得ないのも納得できます」という表記を「もしそうであれば、Appleとしてもかなり強い“制裁”を行わざるを得ないのも納得できるかもしれません」に訂正しました。】
確かに、昨今のサイバー攻撃から身を守る要は情報量といえます。多くのエンドポイントからアクセス記録を収集した結果、その傾向から見えてくるものも多いでしょう。しかし、それをユーザーから見えないところで収集することは、たとえ利用規約に明記していたとしても、ユーザーの気分を悪くしてしまいます。
一見セキュリティとは無関係のアプリでも「インターネット全体にプラスになるために、あなたの情報を収集する」と、最初から分かりやすく明言していれば、そのアプリを使うかどうか、ユーザー自身が判断できたはずです。
Copyright © ITmedia, Inc. All Rights Reserved.
次回の掲載をメールで受け取る
<div style="clear:both;margin:15px 0 0 0;padding:10px;"><!--●概要文--><div style="background:#eee;padding:5px 10px;font-size:small;margin:5px 0px 0px 0px;">※こちらのページには2015年4月以降の記事を掲載しております。<br>2014年11月〜2015年3月の記事をご覧になりたい方は「 <a href="/bizid/series/1129/" style="color:#369;">2014年11月〜2015年3月の記事一覧</a> 」を、2014年10月以前の記事をご覧になりたい方は「 <a href="/makoto/series/1129/" style="color:#369;">2014年10月以前の記事一覧</a> 」をご覧ください。</div></div>
ぴあ、アララ、トレンドマイクロ――情報漏えい事件の後に“支持される企業”と“たたかれる企業”の違い
