TREND COMMENTARY

トレンド解説 | マルウェアに関する最新の動向、対処方法

「提供元不明Androidアプリの常時許可」が今後増加していく傾向に

この記事をシェア

Androidアプリの導入においてGoogle Play以外の方法として「提供元不明のアプリを許可する」があるが、「一時的に許可する」流れから「常時許可する」ことを促す潮流が現れてきた。はたして、セキュリティが甘くなるといった心配はないのだろうか。

「提供元不明Androidアプリの常時許可」が今後増加していく傾向に

Androidのアプリの導入手順には、幾つかの方法がある。いずれの場合を選んでも、それぞれに異なったリスクがある。このことを、まず認識すべきだろう。

基本的なAndroidアプリの導入手順は、以下の6点にまとめられる。

1)Android端末のOSキッティング時にROMイメージにアプリをインストールする方法

2)アプリの一括配信ソリューションを使い社員などの端末にアプリをインストールする方法

3)店頭で端末購入時などに販売員などが代行してアプリをインストールする方法

4)ユーザーが自身でGoogle Play経由でアプリをインストールする方法

5)ユーザーが自身でSDカードやPC接続経由でアプリをインストールする方法

6)ユーザーがGoogle Play以外のWeb経由でアプリをダウンロードしてインストールする方法

細かく分類すれば上記以外にも方法はあるが、おおむねこの6つが代表的なものである。これに対してそれぞれに潜むリスクはどうなっているであろうか。

まず、感染済みのアプリや脆弱性を含むアプリを配布してしまう可能性がある。これは、1) 2) 3)に該当する。この場合、配布管理元や技術担当者によりリスクを軽減することができる。

また4)のように、Google Play登録済みのアプリでも全てが安全とは限らない。昨今はGoogle社の審査が厳しくなりつつあるため、幾分かリスクは緩和されつつあるものの、不安はまだ残るので、ウイルス対策(セキュリティ)アプリなどでチェックすることが望ましい。

そして、5)や6)のように、信頼できる配布元であっても、どのように信頼できるかの科学的根拠がない限りリスクは高まる。この場合も、ウイルス対策(セキュリティ)アプリなどでチェックすることが望ましい。

利便性も大事だが安全性はもっと大事である

利便性も大事だが安全性はもっと大事である

以前のGoogleであれば、ユーザー自身がアプリを入れ込む方法としてGoogle Playを使うことが望ましいという姿勢を固持していた。そのため、設定画面において標準ではGoogle Play以外のアプリを導入するためには「提供元不明のアプリを許可する」を手動で許可する必要があった。言い換えるならば、Google Play以外で提供されるアプリはGoogleにとっては全て「提供元不明のアプリ」であった。

「提供元不明のアプリ」を許可する仕様の恩恵として、中小企業向けの法人向けアプリなど、開発や検証が終わったアプリをGoogleの審査を通さないことにより、時間をかけず即導入できるというメリットがある。

従来これは、こういった法人向けや業務向けのアプリの導入において、一時的に許可する利用方法として知られていた。

ただし、中国のようにGoogle Playのサービスがない国においては、ROMにサービス提供のアプリプロバイダーのマーケットアプリが入れ込まれ、「提供元不明のアプリ」だけでAndroid端末が運用されているケースもある。

しかしここにきて、中国だけの話ではなくなり始めている。

日本においてもGoogle Play以外のアプリマーケットの市場が増加する傾向にあるからだ。例えば、AmazonはKindle向けのアプリの配布を、Google Playを経由せずに行っている。また、Kindleではない通常のAndroid端末に対しても、これらのアプリの利用をプロモーションし始めている。

これに追従するように、日本のゲームプロバイダーなどが中国市場同様の「独自ストア」を開き始めており、一つの大きな潮流になろうとしている。

もちろんお勧めはしないが、これらの「独自ストア」のアプリを使うためには、常時「提供元不明のアプリ」を許可する方が、圧倒的に利便性は高まる。連携したアプリやサービスを紹介したり利用したりする上で、毎回、許可のオンオフを切り替えずに済ませられるからだ。

この場合、常に提供元不明のアプリを許可する状態にすることにより、ブラウザー経由などでの悪意のあるアプリが入り込む余地が高まる危険性がある。では、この危険性を軽減するにはどうすればいいのだろうか。

まずは、何よりもウイルス対策(セキュリティ)アプリを導入し、きちんとチェックが行われるように設定しておくこと、これに尽きる。そのほか、気にしておきたいことも、多々ある。以下の項目は常に気を付けなければならないだろう。

  • URL がhttpsではなくhttpから始まっている
  • 実在証明付きのEV証明書(バーが緑色)がない
  • アプリがさまざまな権限を要求している
  • あからさまに違法行為を肯定している
  • 有料のはずが無料となっている
  • 知っているアイコンと微妙に異なっている
  • 以前よりもバッテリーの電力消費が増えている
  • 説明文の日本語は不鮮明

常時許可をオフにすると、これだけのことを常に注意しなければならないため、安全な状態を維持するためには相当のチェックが必要になる、ということ肝に銘じておきたい。常時許可をオフにし続けることには、かなりのリスクが伴うのである。

なお、必ずしも当のGoogle Playにあるアプリも全て安心というわけではない。これまでもたびたび不正アプリが発見されている。

クリッカー型のマルウェアを再びGoogle Play ストアにて確認(ニュース)

Google Playにあるかそうではないかにかかわらず、アプリの導入には常に細心の注意を払うべきだろう。

この記事をシェア

Androidのセキュリティ対策に

マルウェア情報局の
最新情報をチェック!