SPECIAL CONTENTS

特集 | ビジネスやITの最新動向/技術についてセキュリティ観点からレポート

「仮想キーボード」アプリで、3,000万人以上のユーザーの個人情報が漏えい

この記事をシェア

AndroidとiOS合わせて4,000万人以上のユーザーが登録していた人気の仮想キーボードアプリの開発者が、ユーザーの登録情報の漏えいを起こした。しかし、セキュリティ侵害を受けたのはAndroidユーザーだけであるが、その数は推定3,100万人に上った。

この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。

「仮想キーボード」アプリで、3,000万人以上のユーザーの個人情報が漏えい

サードパーティー製スマートフォン向けキーボードアプリ「ai.type」には4,000万人以上のユーザーがいるが、オンライン・データベースの防御が甘かったために、個人データがオンラインで公開されてしまった。

イスラエルに本拠を置くこのアプリの開発者がデータベース・サーバーの安全確保に必要な認証処理をしっかりと行わなかったためである。全部で580ギガバイト近いユーザーのデータベースレコードが、オープンソフトウェアのドキュメント指向データベース「MongoDB」上で、閲覧可能なまま放置されたのだ。

この開発者が作成したキーボードアプリは、AndroidとiOS合わせて4,000万人のユーザー数を誇っているが、問題のセキュリティ侵害を受けたのはAndroidユーザーだけだった。

「ai.type」の創設者でCEOのアイタン・フィトゥシ(Eitan Fitusi)氏は後に、この事故を知らせる警告を何度か受け、パスワードを使ってデータの安全を確保したという報告を受けた。とはいえ、この措置がとられるまでの間、ユーザー記録情報はそこにさらされたままとなり、デジタル世界の犯罪者たちが歓喜した。うまくすればそうした情報は「天国から降ってくるお宝」に変じてもおかしくないからだ。私たちが心配になるのはおそらく、スクリーン上のキーボードアプリ(これがスマートフォンの普通のキーボードの代わりをするわけだが)が情報を吸い取っていくというこのアプリの印象のせいかもしれない。

報告によると、閲覧が可能な状態になった個人情報の範囲は、ユーザーがインストールしたのが当アプリの無料版か有料版かにかかわらず、その全てに及んでいるようだ。収集された情報には、ユーザーのフルネーム、メールアドレス、位置データ、デバイスのIMSI(国際的モバイル端末加入者識別)番号とIMEI(国際的モバイル端末識別)番号および製造モデル、Androidのバージョン、ユーザーが公表しているGoogleプロフィールの詳細、ユーザーのアドレス帳の内容が含まれている。

Google Playに掲載されている「ai.type」

Google Playに掲載されている「ai.type」

さらにまた、この仮想キーボードを使って打ち込まれた860万以上のテキストを保存するデータベース・テーブル(データ格納の基本単位)も丸ごと流出し、その中にはメールアドレスとそのパスワードも含まれていると伝えられた。

これに対しフィトゥシ氏は「危険にさらされたデータは言われているほどの量ではなかったし、このアプリはユーザーの私生活を嗅ぎ回るようなまねはしないだろう」と述べた

同氏はこの出来事についてBBCに対し、「このデータベースは、それほど重要なものではなかった。位置データは不正確であり、国際的モバイル端末識別情報は何一つ含まれていなかった。また当社が収集していたユーザー動向も、ただ単にユーザーがどんな広告をクリックしたか、というものだった」と語った。

しかし、このようなデータ収集に対して、ESETセキュリティ専門家マーク・ジェームズ(Mark James)は、「データの収集は通常、害を及ぼす者の手の届かないところに安全を確保して大量のデータを保存しておくのだが、残念ながらこのケースでは、そうではなかった」と述べる。

「問題のデータベースは正しい設定がなされておらず、そのせいで格納されている全てのデータにネット経由でアクセスし放題だった。どんなアクセスも全て受け入れる状態になっていたのだ」

別のキーボードアプリ「SwiftKey」にも、2017年7月にセキュリティ上の問題が生じている。何人かのユーザーが事件の予兆じみたテキストメッセージを受け取った、という報告もある。そのメッセージは他の人々に宛てられたものだったが、そこには幾つものメールアドレスと電話番号が書いてあった。このアプリのメーカーは、キーボードアプリの同期プログラムにバグがあるという不具合を指摘されて、クラウド同期を一時的に停止させた。

モバイルアプリをインストールする際、ユーザーは十分用心しなければならないと言われるが、これはおそらく、キーボードアプリの場合、なおの事である。キーボートアプリは、その機能からして、ユーザーが打ち込む全てのデータにアクセスするからである。そこにはもちろん、パスワードやクレジットカードの詳細情報といった非常に大切な秘匿情報も含まれているのだ。

この記事をシェア

情報漏えいのセキュリティ対策に

マルウェア情報局の
最新情報をチェック!