フィーチャーフォンの危険

※訳注：この記事はロシアで流通しているフィーチャーフォンに関するレビューを基にしています

先日、とある携帯電話レビュー記事が、小売価格10～20ドル相当のエントリーレベルの5機種を取り上げ、セキュリティを詳細に検証していました（ロシア語記事）。そうした携帯電話は、一般に「フィーチャーフォン」（日本で言う「ガラケー」）、ロシアでは「おばあちゃんケータイ」などと呼ばれ、スマートフォンを使うのは気が進まない、使い慣れないという高齢の家族のために購入されることが多いものですが、「いざというとき」の予備という使い道もあります。また、フィーチャーフォンの方がAndroid搭載のスマートフォンよりも安全だと考える人もいます。

ただ、このレビューは、安全性について異議を唱えています。レビュー対象5機種のうち、4機種に隠し機能が発見されました。2機種は初めて電源を入れたときにデータを送信（新しい持ち主の個人情報が漏洩）し、残りの2機種は個人データを送信するだけでなく、インターネット経由でひそかに指令サーバーと通信して有料コンテンツの申し込みまでしていました。

予想外の動きをする「おばあちゃんケータイ」

調査レビューでは、こうしたシンプルなデバイスのファームウェアを分析する際に使用した手法についても触れており、同様の分析をしようと考える人には興味深い内容かもしれません。この記事では、分析結果のみを取り上げます。

5機種のうち2機種が、初めて電源が入ったときに利用者のデータをどこかに送信していました。データの送信先がメーカーなのか、販売店なのか、ファームウェア開発元なのか、それ以外なのか、よく分かりません。データがどのように使用されるのかもはっきりしません。推測するに、さまざまな国での販売状況を把握したり製品ロットの流通をコントロールしたりするのにそうしたデータが有用なのかもしれません。このこと自体はそれほど危険な感じはしません。どのスマートフォンも、結局のところ何らかの測定データを送信しているものです。

とはいえ、大手スマートフォンメーカー各社は、少なくとも収集するデータを匿名化するようにしていますし、送信先を多かれ少なかれ明示しています。しかし、レビュー対象の携帯電話では、利用者の個人情報を本人の同意なく誰が収集するのかが分かりません。例えば、1機種ではシリアル番号、アクティベーションされた国、ファームウェア情報、言語だけでなく、利用者のおおよその位置を特定するのに使える基地局識別情報まで送信していました。

その上、データを収集するサーバーは何の保護も講じられていないため、基本的に情報を取り放題です。もう一つ微妙なのは、データ送信がインターネット経由で行われる点です。フィーチャーフォンを使っている人は、デバイスがインターネットに接続できることすら認識していないかもしれません。それはいいとしても、知らない間にインターネット接続することで想定外のモバイルデータ通信料が発生する可能性があります。

レビュー対象機種の中には、利用者データの送信とは別に、勝手に課金するようにプログラムされているものもありました。ファームウェアを解析したところ、その機種はインターネット経由で指令サーバーと通信し、サーバーからの指示（有料電話番号宛てに密かにテキストメッセージを送信する、など）を実行していました。

より高度な悪意ある機能を持つ機種もありました。実際にその機種を使っていたある人は、まったく知らない人が自分の電話番号を使ってTelegramに登録していたと証言しています。なぜそんなことが？大抵どのメッセンジャーアプリでも、登録するには電話番号を入力し、その電話番号宛てのSMSで確認コードを受け取る必要があります。ところが、その携帯電話は、SMSを傍受して確認コードを指令サーバーに転送することが可能で、しかもその動作が利用者には分からないようになっていたようです。勝手にインターネット接続された場合は予想外の出費が多少生じる程度で済みますが、こちらの場合は、例えばこのTelegramアカウントが犯罪行為に使われるようなことがあれば、本格的な法的問題になりかねません。

押しボタン式携帯電話が安全でないなら、どうするべきか

今どきのローエンド携帯電話が10年前のローエンド携帯電話と違うのは、格安の携帯電話であってもインターネット接続が可能な点です。それ以外は問題のない電話だったとしても、インターネットに接続できないからこそ選んだ携帯電話なのに結局インターネット接続することを、喜ばない人がいるかもしれません。

このレビューの執筆者は、以前も、別の押しボタン式携帯電話の解析を行っていました（ロシア語記事）。その機種に悪意ある機能は見つかりませんでしたが、星占いやゲームのデモの有料版サブスクリプションを選択するメニューが付いていました。SMSでロック解除（と支払い）をすればフルバージョンを楽しめる方式でした。ということは、インターネットやアプリがないから携帯電話を選んだのに、高齢の家族や子どもがボタンを間違って押してしまい、料金を請求されることがあるかもしれません。

ここで重要なのは、このような「付加機能」を追加しているのは製造地中国のメーカーや流通業者であり、各地の販売店は問題に気づいてもいない可能性がある点です。さらに問題を複雑にしているのは、押しボタン式携帯電話は多数のさまざまな機種が少量ロットで作られており、通常の携帯電話と問題のある携帯電話を見分けるのはファームウェアの中身を隅々まで調べられる人でないかぎり難しい点です。すべての販売店が十分にファームウェアを管理できるとはかぎりません。

もしかすると、スマートフォンを購入した方が楽かもしれません。もちろん予算にもよりますし、残念ながら安価なスマートフォンは似たようなマルウェアの問題を抱えている可能性もあります。それでも、シンプルなものでもいいので大手メーカーのスマートフォンを購入するだけの予算があるなら、シンプルで信頼できて隠し機能がないものが欲しいという理由で押しボタン式携帯電話を選ぶのなら、スマートフォンを選んだ方が安全かもしれません。Androidスマートフォンのリスクは、信頼できるウイルス対策アプリを使うことで軽減できます。フィーチャーフォンにはそのような対策は用意されていません。

高齢の家族の場合、折りたたみ式の携帯電話に慣れている人がタッチスクリーンになじめるとはとても考えられないかもしれませんが、私たちとしては「試してみる価値はある」と思います。実際、スマートフォンに移行してモバイルの世界を楽しんでいる高齢者は少なくないのですから。