GoogleのGoogle Play Storeで配信されていた一部のAndroid向けアプリから、利用者の個人情報や画像データが大量に流出していたことが分かりました。問題のアプリはすでにストア上で非表示になっているとみられますが、影響は広範囲に及んでいる可能性があります。
150万枚超の画像や動画が流出
問題視されているのは、同一開発元が提供していた2つのアプリです。中でもVideo AI Art Generator & Makerは、AIを使った画像編集や生成をうたうアプリで、50万回以上インストールされていました。
報道によると、このアプリでは150万枚以上のユーザー画像、38万本超の動画、さらに数百万件に及ぶAI生成ファイルが外部から閲覧可能な状態になっていたといいます。原因は、Google Cloud Storageの設定ミスにより、認証なしでも保存データへアクセスできる状態になっていたことでした。
公開状態となっていたデータ容量は12TB以上にのぼり、アプリの公開開始日である2023年6月以降に保存された約827万件のメディアファイルが影響を受けたとされています。
本人確認情報まで露出したIDMerit
さらに深刻なのが、同じ開発元による別アプリIDMeritです。こちらでは、いわゆるKYCと呼ばれる本人確認情報が外部からアクセス可能な状態にあったと報告されています。
KYCとは、金融機関や企業が顧客の身元確認やリスク評価のために取得する個人情報のことです。流出した可能性のある情報には以下のような内容が含まれていたとされています。
・氏名
・住所
・郵便番号
・生年月日
・国民ID番号
・電話番号
・性別
・メールアドレス
・通信関連メタデータ
これらは米国をはじめ、ドイツ、フランス、中国、ブラジルなど25カ国以上の利用者に関係しているとされます。悪意ある第三者に渡れば、なりすましや金融被害など深刻な二次被害につながる恐れがあります。
原因はハードコードされた秘密情報か
今回の問題の一因として指摘されているのが、いわゆるハードコーディングされた秘密情報です。これは、パスワードや暗号鍵などの機密情報をアプリのソースコード内に直接埋め込む手法で、以前からセキュリティ上のリスクが問題視されてきました。
調査によると、研究対象となったPlayストアアプリの72%に類似の脆弱性が確認されたとも報告されています。公開リポジトリ上に誤って鍵情報が含まれた場合、数秒以内に悪意あるボットに検出されるケースもあるといいます。
なお、GoogleはPlay Protectによって日々数十億件規模のアプリスキャンを実施していますが、今回のような設定ミスや設計上の問題を完全に防ぐのは難しいのが実情です。
開発元は2月3日までにIDMerit側のデータアクセス問題を修正したとされていますが、流出済みデータの扱いについては不透明な部分も残っています。
危険なアプリを避けるためにできること
こうしたリスクを避けるためには、いくつかのポイントを意識することが重要です。
まず、開発元の他のアプリを確認することです。似たようなアプリを大量に公開している場合、品質より数を優先している可能性があります。また、Playストア上でGoogleの認証済み開発者バッジが付いているかも参考になります。
さらに、アプリを閉じているにもかかわらず端末が発熱する、バッテリー消費が異常に早いといった挙動があれば注意が必要です。極端に安い価格で生涯版Pro機能を提供するとうたうアプリにも警戒した方がよいでしょう。
Play Protectによるスキャンも有効です。PlayストアのプロフィールアイコンからPlay Protectを選択し、スキャンを実行することで、インストール済みアプリの安全性を確認できます。
スマートフォンは銀行口座や証券口座、クレジットカード情報などと直結する重要なデバイスです。便利なAIアプリであっても、提供元や権限内容を慎重に確認する姿勢が、個人情報を守る第一歩になります。
