アプリストアでの不正なアプリ対策と現状
今では多くの人がスマートフォンを持ち、日々多様なアプリをアプリストアからダウンロードしていますが、アプリストアで不正なアプリが配信されていたというニュースは後を絶ちません。攻撃者は、金融系サービスのログイン情報を窃取するもの、端末を使用不能にして身代金を要求するもの、ユーザーに見えないところで広告をクリックし不正な広告収入を得るもの等、様々なマルウェアをアプリストアに紛れ込ませユーザーから金銭を得ようとします。
この脅威に対して、アプリストアもマルウェア対策を講じています。
Googleは、トロイの木馬やランサムウェアのようなマルウェアの他、下記の望ましくないソフトウェアを含めて「有害な可能性があるアプリ(PHA)」と定義しています。望ましくないソフトウェアには以下の特徴(※1)があるとし、アプリ開発者に対してそれらに該当しないようポリシーに準拠する事を求めています。
- 表示に虚偽がある。すなわちできていないことをできると約束している。
- ユーザーをだましてインストールさせようとする、または別のプログラムのインストールに便乗する。
- ユーザーにメインとなる重要な機能の一部を説明していない。
- ユーザーのシステムに予期しない方法で影響を与える。
- ユーザーが気付かないうちに個人情報を収集または送信する。
- 安全な処理(HTTPSによる送信など)を行わずに個人情報を収集または送信する。
- 他のソフトウェアとバンドル(同梱)され、その存在が開示されていない。
GoogleはPHAに対し、Google Playプロテクトという取り組みで対策しています。Google Playプロテクトは、主に2つの取り組みに分けられます。
- (1)クラウドベースの保護
- (2)デバイス上の保護
(1)では、Google Playでのアプリ更新前に静的及び動的な分析を自動実行し、PHAと疑わしい場合は手動検査されます。また、インターネットを広くクロールし、同様のスキャンを行います。PHAと判断すると、ブラウザのアクセス警告リストへ追加します。
(2)では、ユーザーの端末上でPHAがインストールされていないか定期スキャンやフルスキャン等を行います。
Appleも、App Storeでマルウェア対策を行っています。Appleは、初めて不正防止分析を公開した2021年に引き続き2022年もレポート(※2)を公開し、アプリストアの品質向上のため様々な観点の評価を説明し、PHAに相当するアプリの登録を年間50万本以上却下した事を報告しています。
しかし、図1に示すGoogleのレポートのデータ(※3)の通り、PHAはアプリストアから完全にはなくなっていません。2021年7月から2022年6月のGoogle Playでの平均PHAインストール率は0.05%、アプリのインストール2000件あたり1件はPHAでした。Google Playでは、2021年6月の時点で過去1年で1400億以上のアプリがダウンロード(※4)されたという事ですから、単純計算でPHAのダウンロード回数は1年で7000万回です。
PHAを排除しきれない原因の一つは、攻撃者がPHAをアプリストアに紛れ込ませるための様々な手段を講じている事です。例えば、アプリストアへの登録審査時点ではポリシーに準拠し、登録完了後に悪性の追加機能をユーザーにダウンロードさせるといった手段が確認されています。アプリストアのマルウェア対策と、攻撃者の回避手段がいたちごっこになる以上、アプリストアからPHAを完全に排除する事は困難と言えます。
図1:2021/07~2022/06のPHAインストール率
https://support.google.com/googleplay/android-developer/answer/9970222?hl=ja
https://transparencyreport.google.com/android-security/store-app-safety?hl=ja
ユーザーが安心してアプリを選ぶための情報提供
GoogleもAppleも、ユーザーにアプリを安心して使ってもらうための情報提供に力を入れています。
2022年4月、Googleはデータセーフティセクション(※5)を開始しました。これは、アプリが収集・共有するユーザーデータの種類や用途、その保護方法や取り消し手段の提供等の情報を示すものです。アプリベンダが申告した内容に基づき、Googleが審査します。
App Storeにも、Appのプライバシー(※6)という同様のものが存在します。Appのプライバシーは2020年12月より提供が必要となっており、データセーフティセクションの登場で、両アプリストア共にアプリでのユーザーデータの取り扱い情報が確認できるようになりました。以下に、各ストアでのアプリ全体画面と詳細画面の表示例を示します。Google Playでは、データ保護や削除手段の有無も確認できます。
ユーザーはアプリをダウンロードする際にこの情報を確認し、アプリの機能に対して収集されるデータや保護が妥当かを判断できます。例えば、ある計算機アプリが電話帳や位置情報を取得する事が読み取れる場合、提供機能には不要なデータが収集されるため、本アプリをダウンロードしないという判断が可能です。
図2:アプリ全体画面と詳細画面での表示(データセーフティセクション)
図3:アプリ全体画面と詳細画面での表示(Appのプライバシー)
https://support.google.com/googleplay/android-developer/answer/10787469?hl=ja
https://developer.apple.com/jp/app-store/app-privacy-details/
国際的セキュリティ基準への準拠状況の表示
データセーフティセクションとAppのプライバシーは同様のものと説明しましたが、前者にしかない項目もあります。それは、国際的セキュリティ基準に基づいた審査についての項目です(※7)。本項目の表示は必須ではなく、かつ2021年に始まったばかりであり、2022年10月時点ではほとんどのアプリで表示されていません。しかし、本項目によりアプリのセキュリティが一定水準にある事が確認できるため、将来的にアプリストアの安全な利用に役立つ事が期待されます。
審査基準となる国際的セキュリティ基準とは、OWASPという団体が作成しているMASVSです(※8)。MASVSはモバイルアプリを設計、開発、テストする際のセキュリティ要件で、アプリに応じて以下のレベル分けがなされています。
図4:MASVSのレベル分けと関係性
このうち、MASVS-L1への準拠状況はGoogleが認定したラボパートナーが審査し、アプリ開発者がその結果をデータセーフティセクションで公開できます。なお、MASVSに対応した各要件を検証するテスト用ガイドも用意されており、それに従ってアプリ開発者が検証し認定ラボでの審査を受けるという流れです。
なお、2022年10月時点では、日本では認定ラボは掲載されておらず、筆者もまだ利用出来ていません。今後、日本でも認定ラボが出る事が大いに期待されます。
まとめ
本稿では、アプリストアでの不正なアプリの現状と対策、アプリインストール時に確認できる情報の新しい取り組みを紹介しました。
近年GoogleとAppleは共にアプリのプライバシーやデータの安全な取り扱いに注力しており、データセーフティセクションやAppのプライバシーはその流れの中にあると言えます。
また、セキュリティ基準への準拠状況の表示は、アプリストアのマルウェア対策においてガイド策定者、検査機関、アプリストアの三者が協力した横断的な取り組みであり、浸透すればMASVSが開発時のデファクトスタンダードになっていく事が想定されます。
アプリストアで配信されているアプリは、収集・共有するユーザーデータの種類や用途、その保護方法や取り消し手段の提供等を実施しており、これらの情報は整備されつつあります。アプリのインストールの際はぜひ活用し、安全なアプリの利活用に役立ててください。
