アプリが実際に収集するデータを調べるには

すべてのアプリは基本的に、あなたに関する情報を収集します。実際にどういった情報が収集されているのか、確認できるサービスがAppCensusとExodus Privacyです。

ほとんどのアプリは、利用者に関する情報を収集します。アプリが機能するために、本当にそのようなデータが必要な場合もあります。たとえばナビゲーションアプリは、便利なルートを検索するのに位置情報を必要とします。また、アプリの開発元はしばしば、収益化やサービス向上を図るため、事前に同意を得た上で、利用者に関する情報を使用します。たとえば、アプリのボトルネックを見つけ出して開発の方向性を把握する目的で、匿名の統計を収集するかもしれません。

しかし、自社アプリの機能とは関係のない情報を密かに集めて第三者に売る開発元もあります。幸いなことに、世の中には、こっそり情報収集するタイプのアプリを見抜いてくれるサービスがあります。

AppCensus

アプリがどのような個人データを集めてどこへ送るのかを知るのには、AppCensusのサービス(英語)が役立ちます。AppCensusでは、アプリを実際にモバイルデバイスへインストールし、要求される権限をすべて付与し、一定期間アクティブに使用するという、動的解析の手法を採っています。そのアプリがどんなデータを送信するか、どこへ送信するか、データは暗号化されているかを確認し、実環境での動作について知見を得ているのです。

AppCensusで調べた結果に不安を感じたら、そのアプリを使わないことにして、自分の情報を嗅ぎ回らない別のアプリを探せばよいのですが、AppCensusの収集した情報が常に完璧だとは限りません。というのも、アプリはそれぞれ限られた時間でテストされており、一部のアプリ機能は有効になるまでに時間がかかる場合があるためです。また、AppCensusが分析対象としているのは、Androidアプリと無料で公開されているアプリのみです。

Exodus Privacy

Exodus Privacy(英語)は、AppCensusとは違って、アプリ自体を調査しますが動作については調べません。このサービスはアプリが要求する権限を分析し、埋め込まれたトラッカー(利用者と利用者が取った行動に関する情報を収集するためのサードパーティ製モジュール)を探します。こうしたトラッカーは広告ネットワークが提供するもので、その人その人に合わせた広告を配信するため利用者についてできるだけ多くの情報を集めるように作られています。Exodus Privacyは現時点で、そのようなトラッカーを200種類以上(英語)も認識しています。

Exodus Privacyは、権限を与えることで利用者と利用者のデータに及ぶ危険、という観点でアプリを分析します。たとえばアプリの要求する権限がプライバシーを侵害する可能性がある、またはデバイスの保護を妨害する可能性がある場合には、その旨を知らせてくれます。危険かもしれない権限をアプリに与える必要性を感じないなら、与えないでおくのが良いでしょう。権限は後から必要に応じて追加できます。

アプリの抱える小さな秘密

どちらのサービスも、使い方は簡単です。アプリの名前を検索するだけで、そのアプリが収集するデータとデータの送付先に関する詳しい情報が得られます。Exodus Privacyの場合は、一覧からアプリを選択できるだけでなく、Google Playからアプリを追加することもできます([New analysis]ページにてアプリのURLを指定して追加)。

例しに、Google Playから500万回ダウンロードされている自撮りアプリを検索してみました。Exodus Privacyが返してきた結果によると、このアプリは広告トラッカーを4つ使用しており、カメラへのアクセスだけでなくデバイスの位置情報も要求します。デバイスの位置情報は、アプリの動作に特に必要なわけではありません(理論上、デバイスの位置情報が良き目的で使われる場合もあります。たとえば、撮影した写真のEXIFにジオタグを追加するなど)。アプリは、さらにこの種のアプリに必要ではない電話と通話のデータも要求します。

同じアプリをAppCensusで分析してみると、さらに懸念が生じます。AppCensusによると、このアプリはスマートフォンやタブレットの位置情報にアクセスするだけでなく、この情報をIMEI(携帯電話のデバイス識別番号)、MACアドレス(インターネットまたはローカルネットワーク上でデバイスを識別するために使われる固有のコード)、およびAndroid ID(初回設定時にシステムに割り当てられたコード)と共に中国のIPアドレスへ送信します。それも、すべて暗号化しない状態での送信です。良き目的どころか、こうした動作に正当な理由はありません。

デバイスの動きを追跡するのに使用可能なこのデータは、中国にいる何者かの元へ送られるだけでなく、送信中に傍受される可能性もあります。このデータが誰に対して売られるのか、誰の手に渡るのか、疑問に思うのはもっともです。しかし、プライバシーポリシーを見ると、開発元は利用者に関する個人情報を収集せず、デバイスの位置情報を誰にも渡さないとあります。

プライバシーを侵害されないために

ご覧のとおり、ごく普通のプライバシーポリシーを持つ人気アプリでも、利用者情報の機密性を侵害する可能性があります。したがって、モバイルアプリの取り扱いには慎重になることをお勧めします。

  • 理由もなくアプリをインストールするのは避ける。まったく使用していなくても、開いていなくても、アプリは利用者であるあなたの様子をうかがっているかもしれません。インストール済みのアプリをもう使わないのならば、削除しましょう。
  • よく知らないアプリをインストールする場合は、インストール前にAppCensus AppSearchExodus Privacyを使用して検索する。気になるような結果が返ってきた場合は、別のアプリを探しましょう。
  • アプリが要求する権限をすべて付与する必要はありません。アプリがどうしてその情報を必要とするのか分からない場合は、アクセスを拒否しましょう。Androidでの権限については、こちらの記事で詳しく説明しています。このほか、信頼できるセキュリティ製品を使用して、アプリと権限を制御してください。
ヒント