EVENT | 2019/02/13

iPhoneユーザーが今すぐ読むべき緊急セキュリティ情報2つ。密かに画面情報を収集していたアプリへの注意喚起と、FaceTimeのバグに対応したアップデータが公開されたこと

Photo By Shutterstock
iPhoneユーザーならチェックしておきたいセキュリティ関連の最新情報が2...

SHARE

  • twitter
  • facebook
  • はてな
  • line

Photo By Shutterstock

iPhoneユーザーならチェックしておきたいセキュリティ関連の最新情報が2つある。

1つは、有名企業のアプリがユーザーに了承を得ることなく、入力情報を収集していたというニュース。もう1つは、通話アプリFaceTimeのグループ通信機能にバグが見つかり、修正アップデート「iOS 12.1.4」が2月8日に公開されたことだ。

伊藤僑

Free-lance Writer / Editor 

IT、ビジネス、ライフスタイル、ガジェット関連を中心に執筆。現代用語辞典imidasでは2000年版より情報セキュリティを担当する。SE/30からのMacユーザー。著書に「ビジネスマンの今さら聞けないネットセキュリティ〜パソコンで失敗しないための39の鉄則〜」(ダイヤモンド社)などがある。

Air CanadaがiPhoneユーザーのセンシティブ情報まで収集

まずは、1つ目のニュース。TechCrunchの記事によると、Air CanadaやHollister、Expediaなどの海外大手企業が、「Glassbox」の提供するアクセス解析ツールを利用し、ユーザーの知らないうちにiPhoneアプリ上で行われる操作を記録していたことが判明したという。

記録されていたユーザー情報の中には、パスポート番号やクレジットカード情報、パスワードなどのセンシティブ情報も含まれていた可能性があるようだ。

人気の高いモバイルアプリによるデバイスデータの収集に焦点を当てたブログを運営している「The App Analyst」は、カナダ最大の航空会社であるAir Canadaが、同社のモバイルアプリによって収集していたユーザー情報の詳細を公表した。

The App Analystのブログ記事

情報収集に際しAir Canadaは、本来は収集すべきではない、秘匿されるべきセンシティブ情報についても、保護措置が不十分だったため収集・記録していた可能性があるようだ。

The App Analystによると、Air Canadaのモバイルアプリでは、ユーザーが自分の情報にクレジットカードを関連づけると、アクセス解析ツールによるクレジットカード情報の収集をブロックしようとする。しかし、その後実行される、スクリーンショットによってユーザー情報をキャプチャする際に、クレジットカード情報まで含まれている場合があるというのだ。

The App Analystのブログより

情報は、アクセス解析ツールを提供する「Glassbox」と共有されていた可能性もある。

このような行為は、Payment Card Industryが規定する基準に違反している可能性があると、The App Analystは指摘する。

アプリからクレカ、銀行口座情報、パスワードなどが漏洩している可能性も

この発表を受けTechCrunchでは、アクセス解析ツールを提供するGlassBoxがウェブサイトで紹介している顧客企業のアプリのいくつかを、The App Analystに調べるよう依頼している。

Hollister、Abercrombie & Fitch、Expedia、Hotels.com、シンガポール航空などが調査対象となったようだ。

通信に介入して、アプリから送信されたデータを傍受できるツール「Charles Proxy」を使用すれば、個々のデバイスから送信されるデータの内容を調べることができるという。

先述のTechCrunch記事によれば、調査の結果、すべてのアプリが秘匿されるべきデータをリークしているわけではないが、ユーザーによる操作の様子を録画していることを明らかにしているものは1つもなかったようだ。

また、その録画したデータを自社で記録したり、GlassBoxのクラウドに送っていることを明示しているものもなかった。パスポート番号やクレジットカード情報、銀行口座情報、パスワードなど秘匿性の高い情報が収集されている可能性があるにもかかわらずだ。

App Storeの規約に違反するデベロッパーへのAppleの対応

Appleが運営するApp Storeでは、アプリを提供する際には必ずプライバシーポリシーを含んでいなければならないとされる。

にもかかわらず、GlassBoxが提供するアクセス解析ツールを利用する複数のアプリは、この規約に違反していた。

そこでAppleは、それらアプリのデベロッパーに対して、ユーザーによるiPhoneアプリの操作状況を記録できる分析コードを削除するか、ユーザーに適切に開示するように指示している。

もし、この指示に従わない場合には、App Storeからの削除も辞さないという。

App Storeの規約に違反するデベロッパーへのAppleの対応を伝えるTechCrunchの記事

著名企業による、不正な方法を用いたユーザー情報の収集が、これほど多く行われていることに驚かされる。モラルに反する行為を行っても、ユーザーが離反したり、ブランドイメージが崩れることはないと考えているのだろうか。

つい最近も、Appleの規約に違反する、エンタープライズデベロッパー向けの証明書を目的外に利用したFacebook、Googleの事例が問題になったばかりだというのに。

FaceTimeのグループ通信機能に見つかったバグを早急に修正したい

2つ目のセキュリティ関連情報は、通話アプリFaceTimeのグループ通信機能にバグが見つかり、プライバシー侵害の恐れがあることが判明したので、2月8日に公開された修正アップデート「iOS 12.1.4」を早急に適応すべきであるということ。

FaceTimeが新たに搭載した、音声やライブ動画によって複数のメンバーが会話できるグループ通信機能の利用が一時できなくなっていたのは、深刻なバグが見つかったからだった。

そのバグとは、ユーザーがFaceTimeで誰かとグループ通話をしようとすると、相手が通話に参加する前に、iPhoneのマイクやカメラが動作してしまうというもの。相手が通話に参加していなければ、誰にも見られたり、聞かれたりしていないはずなのに、実は、知らないうちにマイクやカメラが動作していて、誰かに覗かれていたかもしれないというのだ。

プライバシー侵害につながりかねない深刻なバグのため、警鐘を鳴らすセキュリティ関係者が多く、ニューヨーク州司法長官のレティーシャ・ジェームスも調査を指示したといわれる。

このFaceTimeのバグを修正するアップデート「iOS 12.1.4」は、2月8日に公開されているので、iPhone/iPadユーザーは速やかに適応させておきたい。なお、Macでも同様のバグが見つかっており、修正アップデート「macOS 10.14.3」の配信も開始されている。

Appleのサポートページより

著名な企業が提供するアプリでも不正利用やバグが見つかることも

上記2つの情報からも分かるように、著名なデベロッパーが開発・提供しているアプリでも、不正利用やバグが見つかることがある。

個人情報漏洩などの被害を受けないためには、常日頃から利用しているアプリに関する情報収集を心がけておきたいものだ。

筆者の場合には、Apple関連の情報収集には、iPhone ManiaMACお宝鑑定団といったIT系のニュースサイトの閲覧や、アスキー、ブルームバーグ、Engadgetなどのニュース系LINEアカウントの登録(最新情報をプッシュで教えてくれるから便利だ)、Apple製品の愛好家が集まるFacebookグループなども活用している。

ただし、時には誤った情報が流れることもあるので、複数の情報ソースを持つことが大切だ。


Apple(iOS 12.1.4)The App Analyst