新手の詐欺、「フリースウェア」にご注意

やけに高額なアプリが、無料のお試し期間でGoogle PlayやApp Storeの利用者の気を引き、アンインストールされた場合でも定額利用料の請求を行うケースが見られています。

映画『パルプ・フィクション』の中で、殺し屋のヴィンセント・ベガ(Vincent Vega)が、5ドルもするというだけの理由でミルクシェイクを飲みたがった場面を覚えていますか?これは実によくある反応です。多くの人は、高い値段と素晴らしい品質を無意識のうちに関連付けます。そのため、高価な製品を無料で試すことができるとなると、購入する予定のない人でも興味を持ちます。一部のスマートフォンアプリ開発元は、この人間の特性をうまく利用しています。

好奇心にかかる費用

9月下旬のこと、情報セキュリティのリサーチャーたちはGoogle Playにて、月額最大200ユーロ(約2万4,000円)という明らかに法外な定額利用料を求めるアプリを多数発見しました(英語記事)。これらは電卓、QRコード読み取り、写真加工など必要最小限の機能を備えただけのアプリで、ダウンロードした人は数千万人以上に上っていました。

これらのアプリには、3日間の試用期間が設けられていました。実際に利用してみて、定額利用するほどではないと思った多くの人たちはアプリをアンインストールしました。しかし、それにもかかわらず料金は請求されたのです。

なぜそんなことに?理由の1つは、アプリを初めて実行するとき、支払いに関する情報を提供しなければならなかったことです。この情報がないとアプリは起動しませんでした。アプリはこうして、利用者の同意を求めることなく料金を請求可能となったのでした。

もう1つの理由は、デバイスからアプリをアンインストールしても登録を解除したことにはならないことにあります。こうなっているのはそれなりに筋が通っていて、たとえば音楽プレーヤーアプリの場合、誤って削除した場合や、デバイスを初期設定に戻した場合、新しいスマートフォンで同じアプリを使用する場合に、プレイリストが失われずに済みます。しかし、多くの人はこの微妙な設定について知りません。このほか、定額利用のキャンセルを忘れてしまう人もいます。まさに、詐欺アプリ開発元の思うつぼです。

技術的にはマルウェアではない

そもそも、なぜそのようなアプリがGoogle Playで配信を許されたのか。こういった電卓アプリやQRコード読み取りアプリは、技術的にはGoogle Playのルールに違反していないのです。これらのアプリは表明するとおりの機能を実行しますし、不要な権限を要求することはなく、悪意のあるコードを含みません。定額利用料に関しては、現行のルールではGoogle Playから締め出す理由にはなりません。

多くの国では料金の上限が設定されています。しかし、本当にその金額に見合うかもしれない高度な動画編集アプリの場合も、QRコード読み取りアプリや懐中電灯アプリのようなものでも、上限は同じです。この記事を書いている時点で、米国の上限は400ドル、日本の上限は4万8,000円です。定額利用料がこの額を下回っていれば、そのアプリは承認されるわけで、特定の機能に対してお金を支払うかどうかは利用者自身が決めることです。そして、自分が定額利用の仕組みを理解していない以上、自分で責任を取るしかありません。

それでも、Googleがこの問題に気付いた後には、高額な定額利用料を請求する15のアプリのうち14がGoogle Playから削除されました(英語記事)。そのほぼ直後には、同じリサーチャーたちによって、さらに9つのアプリが見つかっています。実際のところ、主要なアプリストアには、このようなアプリがまだまだあると考えられます。

フリースウェア:昔ながらのトリックに新たな名前

こうしたアプリはマルウェアとは言えないため、新しい用語が考案されました。「フリースウェア(Fleeceware:「fleece」は金品を巻き上げるという意味)」です。ただし、無料お試し期間を設けていながら有料となる定額利用に関しては小さな文字で分かりづらく提示する手口自体は以前から見られ、悪用するのはモバイル関連の開発者ばかりではありません。

たとえば、2011年から2012年にかけて、英国をはじめとする各地の女性が、オンライン限定のスキンクリームの「無料」サンプルに関するトラブルに見舞われました(英語記事)。サンプルを注文するとき、自動的に月額60〜70ポンド(約7,400〜8,700円)の支払いに契約させられていたのでした。申し込みに際して同意した取引条件には、月々の支払いに関する情報が記載されていましたが、細かい文字で書かれており、わざわざ読む人はほとんどいませんでした。

iOS向けフリースウェア

当然ながら、この問題はAndroidに限ったことではありません。iOSでも同様です。たとえば2017年には、Mobile Protection: Clean & Security VPNというアプリがApp Storeから削除されるに至っています(英語記事)。このアプリをダウンロードしたのは5万人ほど、そのうち、「3日間無料」のうたい文句にだまされてこの定額制VPNを試すことにしたのは少なくとも200人。彼らの好奇心は、1か月当たり400ドル(約4万4,000円)の支払いという結末となりました。

このアプリはVPN以外にも機能がいくつかあり、そちらは定額利用の必要はありませんでしたが、ほとんど役に立たない機能でした。たとえば、このアプリはスマートフォン上の不要なものを取り除くという触れ込みでしたが、対象となるのは一時ファイルや未使用のアプリではなく、連絡先の重複だけでした。

このほか、QRコード読み取りアプリの例もあります。このアプリは、起動すると、無料試用の申し込みにあたって支払いに関する情報を要求し、3日が経過すると一週あたり3.99ドル(約440円)の請求を開始しました(英語記事)。

こうした事件が何度か起きた後、Appleは定額利用に関する条件を適切に説明しないアプリを厳しく取り締まるようになりました(英語記事)。また、iOS 13では、定額利用中のアプリをアンインストールしようとすると警告が表示されます。

フリースウェアから身を守る方法

フリースウェアは、人々の自然な好奇心と不注意、そして無料のものへの愛着を、定額利用の契約条件を丁寧に読まない傾向と併せて悪用します。トリックにだまされないためには、普通ではないと思われるものを疑って見るようにしましょう。

  • 必要最小限の機能しかないのに法外な価格がついているアプリは、無料のお試し期間があったとしても、ダウンロードしたり定額利用したりしない。ほとんどの場合、価格以外に特別なところはありません。
  • アプリをインストールする前に、アプリそのものとアプリ開発元の両方について、レビューを読んで確認する。何か関連する詐欺があれば、ネット上で情報が見つかることが多いものです。
  • 無料のお試しを申し込んだけれども、今後アプリの料金を払うつもりはない場合は、登録を解除する。Androidをお使いの場合はGoogle Playアカウントの定期購入についてのページを、iPhoneまたはiPadをお使いの場合はサブスクリプションについてのページを参照してください。
ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?