Google Playのレビューと評価を鵜呑みにしてはいけない理由

Google Playで評価が高いアプリや、レビューが多いアプリなら安全――とは限りません。勝手にレビューを書いたり評価を上げたりするトロイの木馬もあるからです。

google-play-ratings-featured

Google Playでアプリを探しているとき、ダウンロードしたいと思ったものが聞いたことのないアプリだったり、小さな開発元が提供するアプリだったりします。たとえば、特殊な工学用計算機や、少数派の音楽プレイヤーなどでしょうか。

Google Playには、こういうアプリがたくさんあります。選ぶのは一筋縄ではいきません。ベテランのAndroidユーザーなら、ダウンロード数が多いアプリや、評価が高いアプリ、レビューした人が多いアプリを選ぶように勧めるでしょう。

とても説得力のあるアドバイスに思えます。多くの人がダウンロードしているなら、便利で役に立つアプリである可能性が高いでしょうし、評価が高いということは、使った人が満足しているということです。レビューがたくさん付いていれば、人気プログラムのはず。この3つの基準によって、ある意味、アプリの運命が決まります。

かといって、ダウンロード数の少ないアプリや評価の低いアプリが悪いアプリだとは、一概に言えません。出たばかりで、まだレビューされていないのかもしれません。しかし一般的には、ダウンロードとレビューの数、そして評価が、アプリに対して判断を下すための現実的な公式と考えられています。結局のところ、レビューや評価は、この公式で正しい結果を出すためのものです。

しかし、話はそんなに単純ではありません(英語記事)。Androidを狙うトロイの木馬の中には、スマートフォンへ密かにアプリをダウンロードし、偽のレビューを書いて、意図的に評価を上げるものがあります。

こうした行為に使われるのは、ルートキット型トロイの木馬。モバイルマルウェアの中でも、特に多いタイプです。よくあるのは、サードパーティのアプリストアから、人気のアプリとセットでルートキット型トロイの木馬が配信されるパターンです。他にも、SMSを使ったスパムメッセージや、Webサイトに表示される悪意ある広告などを介してスマートフォンに入ってくることがあります。

ルートキットという名前は、システムを「ルート化」(システムレベルのアクセス権限を取得すること)して、感染したデバイスを完全に掌握する機能に由来しています。ルートキットはSMSの送信やアプリのダウンロードなど、さまざまなことを知らないうちに勝手に実行します。場合によっては、Google Playを利用することもあります。

たとえば、Leechルートキットが拡散するトロイの木馬Guerrilla(英語記事)は、ユーザーの認証情報をGoogle Playから盗もうとします。盗み出した後、同ストアのAPIを使ってクライアントを装い、ユーザーになり代わってアプリのダウンロード、評価、レビューを行います。

これでサイバー犯罪者は、感染させたスマートフォンに、使いものにならないアプリを買わせることができるようになります。別のビジネスモデルを追求することも可能です。たとえば、開発者向けに「アプリの評価アップ」サービスを販売する、逆に、競争を有利に運ぶため競合アプリの評価を下げる、などです。

レビューに関してはもう少し複雑です。レビューの内容が同じだと怪しまれますし、自然な言葉遣いにする必要があります。でも、偽物なのにもっともらしいレビューは、特に珍しくありません。「最高のアプリ!僕はいい感じで使えてます」とか「まったく問題なし。ただ、対応言語が増えるといいな」といった具合です。

また、ありがちなレビューを集めてデータベース化し、トロイの木馬にランダムにレビューを選択、投稿させて、とても自然なレビューに見せかけることがあります。

一言で言うと、Google Playのレビューと評価をやみくもに信じてはなりません。でも、だとしたら何を信じ、どうやってアプリを選べばいいのでしょうか?

いくつかヒントを紹介します。

  1. よく知られていて、信頼できる開発元のアプリを選ぶようにしましょう。青いひし形のマークが付いた開発元を探してみてください。このマークは、Google Playチームが「トップデベロッパー」に認定した印です。優秀な開発元に必ずこのマークが付いているとは限りませんが、優秀な開発元なら名前がよく知られているはずです。インターネットで調べてみてください。
  2. レビューを読みましょう。確かに嘘が書いてある可能性もありますが、優れたアプリなら、「問題なく動く。良いアプリ」のような一行レビューではなく、ある程度詳しい内容が書かれているものです。最初にどんな感じのアプリか知りたいときには、こういう長いレビューが欠かせません。
  3. Androidデバイスにセキュリティ製品をインストールしてください。悪意あるアプリをGoogle Playからダウンロードしてしまう可能性はかなり低いものの、そのようなアプリはSMSや悪意ある広告を通じて積極的に拡散されています。セキュリティ製品を使うことで、悪質なアプリをインストールしてしまうリスクを下げましょう。
ヒント

ホームセキュリティのセキュリティ

最近では様々な企業が、主にカメラなどのスマートなテクノロジーを活用したホームセキュリティサービスを提供しています。しかし、セキュリティシステムは侵入者からの攻撃に対してどの程度セキュアなのでしょうか?

新着記事をメールでお知らせします