スマホで出会い系に個人情報が流出　その対策は？

• 
  イラストレーション・いわしま　ちあき

　「あなたのアドレスに出会い系サイトからのメールが急激に増えています。会社のパソコンから、アダルトサイトとかを頻繁に見ていないでしょうね？」

　勤務先の情報管理室から呼び出され、“尋問”を受けました。
「違いますよ。私はそんなことは一切していません。ログ（アクセス記録）を調べれば分かることですから」

　必死に抗弁していましたが、実は思い当たる節がありました。そのころ、私だけでなく友人にも同時に出会い系メールが届き始めており、しかもそのきっかけを作ったのは私であると、わかっていたのでした。

　これまでずっと普通の携帯電話を使っていました。しかし、若い人を中心にしたスマートフォン（高機能携帯電話、スマホ）ブームに押され、ついに意を決し、スマホを購入しました。

　世間では、旧来の携帯電話は“ガラケー”などと呼ばれています。このままガラケーを使っていたのでは、ガラパゴス諸島のゾウガメのように社内で“絶滅危惧種のオジサン”に指定されてしまうような強迫観念にかられ、おそるおそるスマホに手を出したのです。使ってみたところ、便利な機能がたくさん付属しているのに驚きました。

　スマホには世界中の開発者が作った、多彩な機能を持つアプリケーション（アプリ）が豊富にそろっています。しかもその多くが無料で手に入ることから、暇さえあれば、便利そうなものを次々とダウンロードしていました。

　さて、ある時、電話やメールで頻繁に連絡を取りあっている友人から連絡を受けました。

　「最近、怪しい出会い系のメールがよく来るようになったんだ。俺は用心して怪しいサイトを見たり、素性の分からないアプリはダウンロードしないようにしている。それに自分の個人メールアドレスは、業務用と区別してむやみに人に教えないようにしている。アドレスを教えた数少ない友人が君だが、何か心当たりはないか」と聞かれました。

　私は知らなかったのですが、無料で配布されているようなアプリの中には、うかつにダウンロードすると、端末の中の携帯電話番号やメールアドレスをごっそり盗み出すようなものもあるそうです。「そんな恐ろしいことがあるのか」と驚きましたが、本当のことを言うと自分の無知をさらけ出すような気がして、その場は何となく取り繕いました。

　その後、新聞の社会面に「スマホアプリ　個人情報を不正流出」という大きな見出しの記事が載りました。スマホに組み込んだ無料のアプリによって電話番号、メールアドレス、住所などが抜き取られ、無断で、あるＩＴ企業に送信されていたというのです。無断収集された個人情報は１０００万件以上にものぼったそうです。

　そのアプリ名を見て驚きました。便利だと思いダウンロードしたアプリの一つだったのです。どうやら、私のスマホ内の情報も、そのアプリで盗まれ、出会い系サイトの勧誘に利用されていたようです。もちろん、友人のメールアドレスもその時、流出したのに違いありません。

　私は、すぐにその友人に事実を告げて謝罪しました。そして、それまでに入手したアプリを全て削除して、アプリのダウンロードもやめました。

　ただ、そうやってみて気がついたのですが、パソコンと同じように、いろいろな機能を使えるからこそスマホは便利なのであり、電話やメールの機能だけでは、昔の携帯と何も変わりません。

　スマホの中に保存している個人情報を守るためには、不正アプリの作成・配布などに対し、どのような法律が制定されているでしょうか。また、今後、スマホでアプリをダウンロードするにはどの様な点に注意すればよいかを教えていただけますでしょうか？（最近の事例を参考に創作したフィクションです）

人気アプリ名かたり、ウイルス配布

　最近、特定のアプリをダウンロードしたスマートフォンの電話帳から、電話番号やメールアドレスが流出するなど、スマートフォンを原因とする情報流出事件が相次いでいます。　

　ネットセキュリティー大手のシマンテックは、昨年１２月２０日、２０１２年におけるインターネットセキュリティーでの脅威の総括と２０１３年の予測に関する説明会を開催しました。その中で、モバイルマルウエア（「マルウエア」とは、不正かつ有害な動作を行う意図で作成された悪意のあるソフトウエアなどの総称です）につき、数の増加、攻撃の高度化がともに進んだとし、１２月１８日時点で２１８種類、前年比３倍以上のＡｎｄｒｏｉｄマルウエアが確認されており、亜種も増加していると説明しています。そして、その説明を裏付けるように、このところ、警察による、違法アプリの摘発が相次いでいます。

　昨年１０月３０日、スマートフォンに登録された個人情報を無断で外部に送信するアプリがインターネット上で公開されていた事件で、警視庁サイバー犯罪対策課は、不正指令電磁的記録供用罪の容疑で、アプリを作成したＩＴ関連会社元会長らを逮捕しました。報道によると、同社が作成したアプリは少なくとも約９万人のスマートフォンに取り込まれ、約１１８３万件の電話番号やメールアドレスなどが流出し、出会い系サイトなどの勧誘に悪用されていたとみられています。

　この事件は、グーグルの公式アプリ配信サイトで、「ぴよ盛りｔｈｅ　Ｍｏｖｉｅ」というスマートフォンの個人情報を外部に送信させるウイルスを仕込んだ動画再生アプリを無料配信したものです。累計３５０万ダウンロードを突破した人気のパズルゲーム「ぴよ盛り」に「ｔｈｅ　Ｍｏｖｉｅ」という言葉を付け加えているのは、有名アプリの派生アプリであると誤信させダウンロードを誘うためです。他にも同様に人気アプリの名前を悪用したようです。

　また、昨年１１月２０日には、スマートフォン内の電話帳データを抜き取るウイルスを保管したとして、京都府警が出会い系サイト関連業者ら２人を、不正指令電磁的記録作成罪の容疑などで逮捕しています。問題の無料アプリは「電池長持ち」「電波改善」などとうたっていますが、ダウンロードしインストールすると、「お使いの機種には対応していません」と表示される一方で、インストール後、スマートフォン内で個人の電話連絡先などを記録した電話帳データを根こそぎ抜き取るというものです。

　データは海外のサーバーに転送されてデータベース化され、出会い系サイトの勧誘に利用されたり、名簿業者に転売されたりする可能性があるということです。この事件では、抜き取られた電話帳データが約４００万件に上るとみられています。

不用意な情報収集でＩＴ企業が解散に追い込まれる例も

　他方、犯罪として摘発される違法アプリではありませんが、スマートフォンにおける不当な個人情報の収集を糾弾されて、企業が解散にまで追い込まれる事件も発生しています。

　昨年４月、スマートフォンのアンドロイド用動画アプリ「ａｐｐ．ｔｖ（アップティービー）」が、顧客情報を不正に取得・利用していたとの社会的批判を受け、ＩＴベンチャーのミログが解散に追い込まれました。ミログでは「ａｐｐ．ｔｖ」によりユーザーの端末情報を取得し、これをデータコンサルティングやターゲティング広告に用いていましたが、この行為が「スパイアプリだ」「無断でユーザーの個人情報を収集している」などと指摘され、事業継続断念にまで追い込まれたものです。

　この企業は、前述したような、違法に個人情報の収集を行い、その情報を売却するなどの犯罪を企図した企業ではありません。あくまで、ユーザーから収集した情報をマーケティングデータとして活用することを企図していたものであり、業界でもその将来性を有望視されていた企業です。しかし、事業の根幹をなす情報収集につき、「ａｐｐ．ｔｖ」の利用規約等には一切説明がなく、個人情報に対する意識の欠如から解散にまで至ったものです。

ｃｏｍｍでの利用規約を巡る騒動

　同様に違法アプリではありませんが、その利用規約において、個人情報に関わる内容に問題があり、ネットで騒ぎになった事件があります。ＬＩＮＥやカカオトークに対抗すべく、昨年１０月２３日にサービス開始したＤｅＮＡのスマートフォン向け無料通話＆メッセンジャーアプリであるｃｏｍｍの利用規約を巡る問題です。

　当初、ｃｏｍｍの利用規約には、「当社は、すべてのｃｏｍｍ会員記述情報を無償で複製その他あらゆる方法により利用し、また、第三者に利用させることができるものとします」と書かれていました。ここでいう「ｃｏｍｍ会員記述情報」とは、「当社の運営するサイト内にｃｏｍｍ会員が記述したすべての情報及びｃｏｍｍ会員間でメールやチャットなどによりやりとりされるすべての情報」と記載されていました。

　この規約内容では、同社がユーザー間のメールやチャットでの通信内容を何らかの形で利用したり、第三者に利用させたりすることができると解釈されてしまいます。本連載の「メール内容を解析して広告表示　秘密の侵害では？」（２０１２年１０月１０日）で詳しくご説明したように、そのような行為は、通信の秘密を侵害する恐れがあります。

　結局、ＤｅＮＡは、ネット上での騒ぎを受けて、「この度は多くの皆様の不安を助長する結果になりましたことをお詫び申し上げます」とのコメントを発表し、規約を修正しました。

　修正後の規約では、「当社は、すべてのｃｏｍｍ会員記述情報を本サービスの提供を目的とする範囲において無償で複製その他の方法により利用できるものとします」と利用範囲を限定した上で、「ただし、ｃｏｍｍ会員間でメール・チャットによりやりとりされる情報を、令状等による場合を除き、当社、第三者が閲覧することはありません」と追記して、通信の秘密に配慮した内容に変更しています。

コンピューターウイルスに関する罪

　このように、スマートフォンの普及に伴って、ダウンロードされたアプリで個人情報が収集される事件が相次いでいます。冒頭に説明した事案のように、ユーザーの意図と無関係にアプリが勝手に実行する、いわゆるコンピューターウイルスを作成し、配布するような行為に対しては、刑法が適用され罰則も設けられています。

　「情報処理の高度化等に対処するための刑法等の一部を改正する法律」（平成２３年法律第７４号）が平成２３年６月２４日に公布され、改正法によって、刑法に新たに「不正指令電磁的記録に関する罪（いわゆるコンピューターウイルスに関する罪」）」が設けられ、同年７月１４日に施行されました。

　この法律により、コンピューターウイルスの作成、提供、供用、取得、保管などといった行為が罰せられることになりました。つまり、冒頭で述べたような違法アプリを作成したり、配信したりする行為に対して刑罰を科することが可能となったわけです。

第１６８条の２

１　正当な理由がないのに、人の電子計算機における実行の用に供する目的で、次に掲げる電磁的記録その他の記録を作成し、又は提供した者は、３年以下の懲役又は５０万円以下の罰金に処する。

　一　人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録

　二　前号に掲げるもののほか、同号の不正な指令を記述した電磁的記録その他の記録

２　正当な理由がないのに、前項第１号に掲げる電磁的記録を人の電子計算機における実行の用に供した者も、同項と同様とする。

３　前項の罪の未遂は、罰する。

第１６８条の３

　正当な理由がないのに、前条第１項の目的で、同項各号に掲げる電磁的記録その他の記録を取得し、又は保管した者は、２年以下の懲役又は３０万円以下の罰金に処する。

スマホに向けられた違法アプリの危険性

　上記のように、違法アプリについては、きちんと刑法上の対応がなされているわけですが、だからといって安心できるわけではありません。前述したシマンテックの調査にあるように、コンピューターウイルスに関する罪が施行された現在でも、ネット上には、違法アプリがあふれています。また、仮に違法アプリを配布する者が警察により逮捕されても、奪い取られた情報が戻ってくるわけではありません。

　戻ってこないどころか、個人情報の場合は、一度流出したら、際限なく第三者に転々流通し、広まっていくと考えるべきです。つまり、違法アプリによる被害は、もはや回復は困難ということです。

　この点、警察に徹底した取り締まりを実施してもらい、違法アプリが根絶されることを期待したいところです。それでも、なお取り締まりの網をかいくぐって、将来も、ネット上に違法アプリが存在し続けることは間違いないと思います。そういう意味では、警察に頼るばかりではなく、スマートフォンのユーザー各人が、自分自身の責任で、自覚を持って違法アプリから自らを守っていく姿勢を持つことが不可欠です。

　特に、基本的に公式サイトからしかアプリを取り込めないアイフォーンと異なり、アンドロイド端末では公式サイトのほかに安全審査がない非公式サイトが乱立していることなどもあり、一般には、不正アプリが配信される余地が大きいとも言われています。現に、冒頭に挙げた事件で問題となったのは、いずれもアンドロイド端末向けのアプリです。そういう意味では、アンドロイド端末を使っている方は、特に注意が必要かと思います。

当たり前のことをきちんと実行する

　ネット上の無料アプリについては、実社会に例えて「道に落ちているものを拾って食べるのと同じ」などと、その危険性を指摘する意見もあるようですが、それは極端な比喩かと思います。無料アプリには、確かに危険なものが存在する反面、技術者が真摯しんしに作成して社会に公開している有用なものもたくさんあるので、要は使う側の考え方次第かと思います。

　では、スマートフォンでアプリをダウンロードする場合、どのような点に注意すればよいでしょうか。この点、警視庁のホームページに、主にパソコン利用におけるコンピューターウイルスに対する自己防衛対策が記載されていますので、それを参考に、以下、スマートフォン向け防衛対策を列挙してみます。

　（１）ウイルス対策ソフトを必ず入れる。

　（２）インターネット上からファイルをダウンロードした場合は、不用意に実行せず、ウイルス対策ソフトでチェックしてから開くようにする。メール添付で送られてきた場合も同様です。

　（３）新種のコンピューターウイルスが毎日次々と発生するので、ウイルス対策ソフトは最新のパターンファイルに更新しておく。

　（４）メールアドレスを詐称してメールを送信することは簡単にできるので、安易に信用しない。

　（５）万一のコンピューターウイルス感染被害に備え、スマートフォン内部のデータのバックアップを定期的に行う。

　（６）Ａｎｄｒｏｉｄ－ＯＳのほか、ブラウザーなどのアプリも常に最新の状態にアップデートしておく。

　（７）信頼できるところからのみアプリをインストールし、そのアプリは自動アップデートし、最新状態にしておく。

　（８）アプリを取得する際には、レビュー、開発者のウェブサイト、同じ開発者がリリースしているアプリかなどをチェックする（冒頭で述べたように、有名アプリの派生アプリであるかのような名称、外観を装うのは、違法アプリの常套じょうとう手段です）。

　（９）知らない人からのメールばかりではなく、ツイッターのダイレクトメッセージは開かない、開いても文中のリンクは開かない。タイムライン上のリンクも同様。

　ほかにも色々あるかと思いますが、私は法律家であり、技術者ではありませんので、このくらいにしておきたいと思います。

　いずれも、あまりにも当たり前のことばかりですが、このような基本を守るだけでも、違法アプリによる被害を受ける可能性は小さくなると思います。ご相談者の方も、面倒がらずに、当たり前のことをきちんと実践されることをお勧めします。

　なお、アプリを一切ダウンロードしないという自衛策もありますが、スマートフォンの持つ大きな可能性を否定することにもつながるので何とも悩ましいところです。

　前述のような法律を武器にした警察による徹底した取り締まりを期待することはもちろん、アンドロイドを開発しているグーグル社にもきちんとした技術的な対応をしていただき、誰もが安心して、スマートフォンを便利に使いこなせる社会にしてもらいたいところです。