――モバイルマルウエアに地域性はあるのか。例えば、アジア地域の言語のアプリにはマルウエアが仕込まれている比率が高いなど、特徴はあるのか。
Android OSやiOSだけでなく、WindowsやLinuxにも造詣が深いRotem Salinas氏。リバースエンジニアリングによるマルウエア解析を専門としている
Salinas氏 アジア地域ではスマートフォン(モバイルデバイス)が急速に普及し、その出荷台数も多いことから、マルウエア(に感染している端末の台数)は多い。特に(PC用の)海賊版のソフトウェアや正規のダウンロードサイト以外にある危険なアプリも出回っているが、こうしたソフト/アプリにはマルウエアが仕込まれている確率が高い。著作権を侵害しているようなソフトを“無償”で配布するような開発社が提供するモノに裏があることは、容易に想像できるだろう。
Ben-Porat氏 一昔前は「Google market place」(App Store)上にあるアプリでも、ユーザーの電話帳から情報を抜き取るような悪質なものが存在した。しかし、今はGoogle側もかなり審査基準を厳しくしていると聞いている。ただし、「Google Apps Marketplace」以外にあるいわゆる“野良アプリ”は危険度が高い。専門家の立場から言わせてもらえれば、「信用できないものには手を出すな」だ。
――Internet of Things:IoTに対する脅威について教えてほしい。PCやスマートフォンと同様、その攻撃は急増すると考えるか。
Salinas氏 IoTプラットフォームはさまざまだが、Androidをベースにしたものもある。そうしたプラットフォームは、既存のAndroidを狙ったマルウエアのコードを少し書き換えるだけで攻撃が可能だ。攻撃者がIoTプラットフォームを攻撃することで“金になる”と考えれば、その件数は増加するだろう。
――最後に、「アプリが行うデータ収集」について意見を聞かせてほしい。メールアドレスや電話帳といったデータの収集は、ユーザーの許可が必要であることは理解した。では、アプリ上に入力した情報の収集/活用は、どこまで許されると考えるか。例えば、無償の翻訳アプリを提供するベンダーが、「ユーザーが過去に入力した文章をデータベースに蓄積し、第三者に提供する」といった行為は、許される行為だと考えるか。
Ben-Porat氏 法律の専門家ではないので、その行為が違法かどうかの判断はできないが、プライバシーの侵害ということは言える。個人的な見解だが、悪意がないとしても、翻訳アプリの提供者が利用者の許諾を得ずに入力情報(文章)を蓄積し、商業的な利益のために販売するのは間違っている。もちろん、元の情報(文章)をどの程度加工するかで(プライバシー侵害かどうかの)判断は異なるが、データの収集/蓄積/分析は、ユーザーの利便性向上のために使われるべきだ。
Salinas氏 実は、われわれが住んでいるイスラエルでも、同じような問題がある。あるベンチャーが提供しているSNSアプリは、一人のユーザーがアプリをインストールしただけで、そのユーザーのアドレス帳にある友人情報がすべてベンダーのデータベースに送信される仕組みになっている。イスラエルではこうしたアプリは“間接的に合法”というスタンスだが、私自身は大いに抵抗がある。イスラエルではこうした法律を整備していく必要があると考えている。
