Google Playの新ポリシーが諸刃の剣である理由

2019年4月9日

Google Playは先日、アプリに関する新しい要件を発表しました。通話履歴やSMSメッセージにアクセスしなくても動作が可能なアプリは、これらに対するアクセス権限を要求できなくなります。いずれは、通話およびテキストメッセージ送信を行うアプリだけに通話履歴やSMSメッセージへのアクセスが許されるようになります。ただし今のところ、この規則にはかなりの例外があります。アプリの開発元は、3月9日までにGoogleの新ポリシーに沿うことを求められました。

この新しい要件はセキュリティの向上を意図したものですが、一方で逆の効果を生む可能性があります。

利用者のデータを過度に欲しがるアプリ

Androidアプリの中には、通常動作に必要となる以上の権限を求めるものがあります。アプリがどのような権限を要求しているのかは、インストールの際に確認することができます。たとえば、オンラインストアのアプリは音声を録音する必要があるでしょうか?通話履歴を見る理由は?

必要以上に権限を要求するアプリの例

大手ブランドでも権限を乱用することがあるくらいですから、知名度のない開発元や無名の開発元が出しているアプリがそれより悪質であっても不思議ではありません。中には、通話履歴やSMSメッセージにアクセスし、データや金銭を盗み取ろうとする悪意のあるアプリがあるかもしれません。たとえば、自動的にSMSを送受信できるマルウェアなら、利用者であるあなたに無断で有料サービスに登録したり、ワンタイムコードを知らせる銀行からのメッセージを傍受したりできます。

セキュリティの向上に賭けるGoogle Play

Googleによると、このような制限を課す目的は、利用者のプライバシー保護とセキュリティにあります。要はこういうことです。善良な開発元なら、何億人もの利用者を抱えるソフトウェア市場から締め出されることよりも、必要のない権限を手放すことを選択します。一方、悪意あるSMS傍受アプリや通話をスパイするソフトウェアは行き場がなくなり、出ていかざるを得ません。すべて丸く収まる、そう思いませんか?残念ながら、世の中それほど単純ではありません。

ルールをくつがえす例外

現実に目を向けると、利用者へ有益な機能を提供するために通話履歴やSMSメッセージへのアクセスを必要とするアプリは、数多く存在します。たとえばアカウントの検証、バックアップ、デバイス間での通話やメッセージの同期、スパムのブロックといった機能です。

善良な開発元に損害を与えないため、また、利用者から有用なツールを取り上げないようにするため、現在のGoogle Playポリシーでは一定の条件下でこれら権限の要求を例外として認めています。裏を返せば、サイバー犯罪者がホワイトリスト化された機能を自分のアプリに統合し、締め出しを回避することが可能でもあるのです。したがって、通話やSMSメッセージを盗み見ようとするアプリをGoogle Playからすべて追放できるとは考えにくく、悪意のある懐中電灯アプリの代わりに悪意のあるスパム通話ブロックアプリが登場するだけでしょう。

追放されるのはマルウェアだけではない

もう1つの可能性は、疑わしいアプリだけではなく、善良で役に立つアプリも追い出す結果となることです。おそらく大半の開発元は、それほど騒ぎ立てることなく、要求する権限のリストを改訂したことでしょう。しかし、何らかの理由でそれができず(または、しないことを選び)、撤退した開発元もあるかもしれません。そうしたことは過去にありました。超人気ゲームであるフォートナイトの製作チームはGoogle Playの条件に不満を抱き、Google Playから配信しないことを決めています。

合法の開発者がGoogle Playを離れていくのは、利用者にとって良い話ではありません。欲しいアプリがGoogleの公式ストアになければ別の場所を探すことになり、偽物をつかまされる可能性が高まります。また、Google Playの新基準による審査に通らなかった開発元の多くは、Googleよりもセキュリティ要件の緩いサイトへ移動するでしょう。そのアプリのファンも付いていくでしょうから、このようなサイトにアクセスする人の数が増えます。いずれにしても、サイバー犯罪者にとっては朗報です。

変化をどう乗り切るか

Google Playの新ルールによってモバイルアプリ市場は混乱へと向かうことになり、近いうちにAndroid利用者は、一層の用心が求められるようになってくることでしょう。

  • まず何よりも、疑わしいWebサイトからアプリをダウンロードしないことです。目的のアプリがGoogle Playになかったとしても、検索結果の先頭に出てきたWebサイトからダウンロードするのではなく、開発元の公式Webサイトを探してそこからダウンロードしましょう。
  • 評判の良い企業が開発したソフトウェアだけをインストールしましょう。それよりも前に、自分の探しているアプリのAndroidバージョンが本当に存在するかどうかを確認してください。
  • そのアプリがマルウェアではないことが分かっている場合でも、アプリがどんな権限を要求するかを確認し、余分な権限を与えないようにしましょう。アプリの権限の詳細については、過去の記事をご覧ください(Android 6と7の場合、Android 8以降の場合)。
  • 信頼できるアンチウイルス製品をインストールしてデバイスを保護しましょう。たとえばカスペルスキー インターネット セキュリティ for Androidは、敏感にマルウェアを検知します。