何件かあったかと思うのですが、
このようなアプリの機能による個人情報の不正取得というのは、
スマートフォンだけの問題で、フィーチャーフォンでは発生していない問題なのでしょうか?
もしくは、フィーチャーフォンでも発生する可能性や事例があったり、
フィーチャーフォンでは詳細にアプリの動作をトレースすることが難しいために、
怪しい動作をしているアプリを見つけることができないなどあるのでしょうか?
ブラウザ経由であれば、フィーチャーフォンであろうと、スマートフォンであろうとあまり関係ない気がします。そこで調べてみました。
スマートフォンセキュリティ集中講義<脅威編> ? iPhone/Androidの違いとそのメカニズムを学ぶ | ビジネスネットワーク.jp を見る限り、フィーチャーフォンの場合はスマートフォンに比べるとリスクは低そうです。
スマートフォンとフィーチャーフォンの比較
次に、スマートフォンとフィーチャーフォンを比べてみた場合はどうであろうか。
前述したPCNのコンテンツの観点から、スマートフォンとフィーチャーフォンが共通して持っているセキュリティ脅威の対象となる機能は、フルブラウザである。フィーチャーフォンに搭載されているフルブラウザではFlashやHTML5などに対応したリッチブラウザが少ない一方、スマートフォンでは、オープンなリッチコンテンツへの対応のため、フルブラウザも高機能/複雑化している。そのため脆弱性が含まれる可能性が高く、フルブラウザは脆弱性を狙ってくる不正プログラムの格好の標的になることが想定される。
また、プラットフォームの観点からは、フィーチャーフォンで採用されているOSは、iTronなどを独自につくりこんだものが多く、PCNのメカニズムでいうところのクローズドな環境であり、セキュリティリスクは低いといえる。一方、iOSやAndroidなどの汎用OSを採用しているスマートフォンでは、よりオープンな環境にさらされており、セキュリティリスクは高いといえよう。
不正取得していただわけではありませんが、以下、個人情報が漏れたニュース例を見つけました。
※携帯電話の個体識別情報取得に不具合、7名の個人情報が漏えいした可能性(サッポロビール)
http://scan.netsecurity.ne.jp/article/2011/01/26/26226.html
それと注意して欲しいのは、ワンクリック料金請求にご用心 :警視庁です。
これまでに多かった不特定多数に送られていたと思われる架空の料金請求メールと異なり、実際に自らサイトにアクセスしたことによって料金請求の画面が表示されるため、驚いてしまう人が多いようです。
また、興味本位でメールアドレスや電話番号を登録してしまって、後日、退会手続きをしようと思っても、その方法が記載されていません。
たとえ携帯電話の機種名や個体識別番号、自分の位置情報が事実だったとしても、それらの情報から個人情報が漏れてしまうことはありません。もっともらしく文面に記載されていることをすぐに信じたりせず、請求代金の支払いや返信をしないようにしましょう。
ご参考になれば幸いです。
>フィーチャーフォンでは発生していない問題なのでしょうか?
「フィーチャーフォン」の定義が曖昧ですが、国産携帯電話(いわゆるガラケー)では発生していないと言われています。
一方、BlackBerryのような海外製品の場合、プライバシー情報が筒抜けになる可能性はあります。
http://www.pcworld.com/article/119326/is_your_boss_watching_your_blackberry.html
>フィーチャーフォンでは詳細にアプリの動作をトレースすることが難しいために、
そんなことはありません。
GPS機能が付いているうえ、定期的に基地局と情報交換を行っているので、キャリアがその気になればトレースできます。
実際、子供ケータイのように、保護者がケータイの位置を追跡するサービスを提供しているケースがあります。
>怪しい動作をしているアプリを見つけることができない
これはスマートフォンでも同じことが言えるのですが、プライバシー情報追跡プログラムがルートキットのように権限の高いレベルで動作していると、利用者側でアプリを特定することは難しくなります。
回答ありがとうございます。
単体のアプリならともかく、端末自体に組み込まれていたりキャリア側で情報を取得する可能性を考えると、
そもそもフィーチャーフォンとスマートフォンの問題ではなく、
開発者側のモラル
もしくは、個人情報を取得することのデメリット<個人情報から得られる利益
という判断をした場合の問題のような気もしました。
>端末自体に組み込まれていたりキャリア側で情報を取得する可能性
最近スマートフォンで個人情報収集ではないかと問題になっているCarrier IQは、端末にあらかじめ組み込まれておりユーザーが拒否できないプログラムなので、それを想定して回答しました。
>開発者側のモラル
>もしくは、個人情報を取得することのデメリット<個人情報から得られる利益
日本の場合、個人情報保護法と総務省および経産省の個人情報ガイドラインがかかり厳しいので、個人情報収集はもちろんのこと、利用者の許可無く端末の利用状況や移動状況をトレースすることは許されていません。EUの場合も同様のガイドラインがあります。
ところがアメリカ、台湾、韓国については、それほど厳しいルールがありません。中国に至っては、そもそも法制化されていません。
なので、フィーチャーフォンとスマートフォンという技術的な違いよりは、日本・EU向けの端末か、それ以外の国向けの端末なのかという違いの方が大きいのです。
スマホやフィーチャーフォンというより
ブラウザの脆弱性が問題でしょう。
フィーチャーフォンでは通常ネット接続するとき、
キャリアの専用ブラウザで接続するので、
それぞれのキャリアに合わせたウイルスを作成する必要があります。
ましてや、日本のフィーチャーフォンは世界標準とは全く仕様が違いますので、
世界中のアタッカーから考えると、そんなマイナーなものに時間をかけることもないし、参考書も少ないでしょう。
でも、スマホは基本的にPCのブラウザと一緒ですから、
今までのPCでのノウハウも活用できるし、世界共通のウイルスが作れちゃうので、
ちょっと知っているだけで簡単に作れてしまいます。
その分被害に会いやすいといえるでしょう。
ただし、フィーチャーフォンでもPCピューアー等を使うと、
PCの画面も見れますので、被害にあう可能性も十分にあります。
どちらにしても悪意のある人間がいれば、どれでも決して安全とは言えませんね。
回答ありがとうございます。
ちなみに、アプリでは、ユーザーの位置情報や電話帳など端末側に入っている情報を不正取得していたというものがあったかと思うのですが、
ブラウザでも脆弱性からそのような情報が取得されることはあるのでしょうか?
回答ありがとうございます。
2011/12/10 07:33:27確かにブラウザ経由での危険性ということでしたら、スマートフォンでもフィーチャーフォンでもPCでもそれぞれ発生しているはずですね。