2018年4月24日

Kaspersky Lab、サードパーティ製SDKが原因で、数百万のアプリに個人データ漏洩のリスクがあることを発見

当社の調査チームは人気のマッチングアプリの調査中、一部のアプリにユーザーデータ漏洩の危険があることを発見しました。アプリは暗号化されていないユーザーデータを、HTTPSではなくHTTP経由で送信していました。詳しく分析した結果、人気のアドネットワークで使用されているサードパーティ製の広告SDKを使用していることが原因でした。

[本リリースは、2018年4月17日にKaspersky Labが発表したプレスリリースに基づいた抄訳です]

Kaspersky Labの調査チームは人気のマッチングアプリに関する調査中に、一部のアプリにユーザーデータ漏洩の危険があることを発見しました。アプリは暗号化されていないユーザーデータを、非暗号の通信プロトコルであるHTTP上で送信していました。詳しく分析した結果、人気のアドネットワークで使用されているサードパーティ製の広告ソフトウェア開発キット(Software Development Kit、以下SDK)を使用していることが原因でした。該当するアプリには、ダウンロード数が世界で数十億に上るもの含まれます。このような深刻なセキュリティの欠陥は、多くのユーザーを無防備な状態にし、個人データの窃取や改竄、将来的な攻撃などに悪用される可能性があります。

SDKはソフトウェア開発キットで、SDKを利用することで、アプリの開発労力やコストを大幅に削減することが可能です。広告SDKは、関連性の高い広告を表示するためにユーザーデータを収集しています。収集されたデータは、アドネットワークのドメインに送信され、ターゲットを絞った広告が表示されるようになります。その結果、ユーザーに合った広告表示により広告効率を上げ、開発者の製品の収益化を支援することになります。

今回当社が、当社のAndroid用動的解析システムでアプリケーションのログとネットワークトラフィックを調査した結果、一部のアプリが暗号化されていないユーザーデータをHTTPSではなくHTTP経由でアドネットワークに送信していることが判明しました。データが暗号化されていないと、セキュリティ保護のないWi-Fi、インターネットサービスプロバイダ、家庭用ルーターに潜むマルウェアなどを介して、何者かにデータを盗聴や改竄される危険性があります。もし改竄された場合、正規の広告ではなく悪意ある広告を表示するようになり、表示広告からアプリではなくマルウェアのダウンロードを誘導することで、ユーザーを危険にさらすことになります。

また、主要なドメインを多数特定しましたが、そのほとんどは人気の高い複数のアドネットワークのものでした。このようなSDKを使用しているアプリは合計で数百万にもおよび、そのほとんどが、次のようなデータの内少なくとも1つを暗号化せずに送信していました。

  • 個人情報:ユーザー名と年齢、性別が大半を占めます。中にはユーザーの収入が含まれている場合もあります。ユーザーの電話番号とメールアドレスが漏洩する可能性もあります。(Kaspersky Labが実施した別の調査によると、ユーザーはマッチングアプリで多くの個人情報を共有していることがわかっています。)
  • デバイスに関する情報:メーカー、モデル、画面解像度、システムのバージョン、アプリ名など
  • デバイスの位置情報

Kaspersky Labセキュリティ調査チームのロマン・ウヌチェク(Roman Unuchek)は、次のように述べています。「調査を始めた当初、私たちはアプリの不注意な設計による特殊なケースだと思っていました。しかし、実際の規模ははるかに大きく、数百万ものアプリにサードパーティ製のSDKが含まれており、個人データが簡単に窃取や改竄される危険にさらされています。このような状況は、使用しているデバイスのマルウェア感染、脅迫や高度な攻撃にもつながります」

Kaspersky Labの調査チームは、次の対策を講じることをお勧めします。

  • アプリの権限を確認する。

権限付与の理由がわからないものにアクセス権を許可しないでください。例えば、ほとんどのアプリは位置情報へのアクセスは不要であるため、そのアクセス権を付与しないでください。

  • VPNを使用する。

VPNの活用により、デバイスとサーバー間の通信は暗号化され、データ漏洩のリスクは低くなります。

詳細については、Securelistブログ「Leaking ads」(英語)をご覧ください。