コラム：スパイウェアについて考えてみました 

自分の彼氏の行動を密かに記録できるというAndroidアプリが公開され、そのアプリの動作内容を精査したセキュリティ企業が「スパイウェア」であると認定して話題となりました。

その後はアプリ自体の仕様が改善され、セキュリティ企業はスパイウェア認定を留保しました。

事件の経緯については、多くの報道があったのでご存じの方も多いでしょうが、気になる方は以下のサイトなどを参照してください。

彼氏追跡アプリ「カレログ」はウイルス？　沈静化目指す提供元（ケータイWatch 9月5日）

「カレログ」新バージョンはスパイウェア認定を留保　McAfeeは懸念伝える（ITmedia 9月9日）

話題の「カレログ」、しかしてその実態は。（高木浩光＠自宅の日記 9月10日）

さて、改めて考えるに、「スパイウェア」って何なんでしょうか？

ウィキペディアによれば、以下のように定義されています。

スパイウェア（Spyware）とは、ユーザーに関する情報を収集し、それを情報収集者である特定の企業・団体・個人等に自動的に送信するソフトウェアを指す。

今回問題となったアプリの場合は、GPSによる位置情報や電池残量、通話履歴、アプリ使用履歴などを収集できる機能が備わっていました。

とても小さなAndroid端末ですが、その中にはたくさんの個人情報が収められています。たとえば、電話帳には多くの知人や仕事先の電話番号をはじめとした情報が入っているでしょうし、まめな人なら相手の誕生日のような細かいデータまで入力していることでしょう。また、クレジットカード番号や、各種サービスで利用するパスワードなどをメモ帳に控えている場合もあるでしょう。

もし、間違って悪意のある誰かが、そういった情報を集めるためにスパイウェアを、あなたのスマートフォンにインストールしたとしたら怖いですよね。

では、スパイウェアが動作するためには、どういう条件が必要なのでしょうか？　必要なのは、それらのデータへ「アクセス許可」されることです。たとえば、すでにスパイウェアの認定は解除されましたが、今もセキュリティ企業が懸念を伝えるという「カレログ」の場合は、どんなアクセス許可が求められているのか、Androidマーケットのページに記載されている項目をあげてみましょう。

現在地
　精細な位置情報（GPS）
　おおよその位置情報（ネットワーク基地局）
ネットワーク通信
　完全なインターネット アクセス
電話/通話
　端末のステータスと ID の読み取り
現在地
　位置情報提供者の追加コマンド アクセス
ネットワーク通信
　ネットワーク状態の表示
システム ツール
　起動時に自動的に開始
デフォルト
　電池統計情報の変更
　他のアプリケーションのデータを削除

上のリストからわかるように、このアプリをインストールすると、電話に関して「端末のステータスと ID の読み取り」を許可することになり、電話番号やシリアル番号、通話中かどうか、通話相手の電話番号などが特定される可能性があります。

カレログのWebサイトを見ると、サービス改善報告という記事の中で、従来提供されていた「通話履歴送信」サービスを停止したとあります。しかし、アクセス許可の内容を見る限り、まだアプリとしては通話履歴に関する情報を収集している可能性も完全には否定できません。

このように、実際のアプリの用途とは異なるデータにアクセス許可を求めている場合には、なぜそうなっているのだろうと考えることが大切です。もしかしたら、アプリは密かに特定の情報を収集しているのかもしれません。

良心的なアプリメーカーであれば、なぜそういうアクセス許可を求めているのかを、明確に示すべきですし、そういったことをしているメーカーであれば、逆に信頼性が高いと見なすことも可能です。

一方で、たまに見かける、違法アップロードされた音楽データを検索する怪しいアプリなどの場合、アクセス許可リストを見ると、個人情報にまつわるデータへのアクセスがずらっと並んでいるものが多いようです。つまり、明かなスパイウェアである可能性が高いといえます。不用意に怪しいアプリをインストールして利用するのは、危険な行為であることを認識すべきでしょう。

とにかく、アプリをインストールする時には、まずアクセス許可を確認して、その内容に納得してから利用する癖をつけましょう。また、たとえどんなに人気のアプリであっても、アクセス許可を見て疑問に思ったら、まずは一旦利用を差し控えて、他に類似アプリでもっと安全なものがないかを探してみることも大事なことだと思います。