Gmail、Facebook、TwitterのアカウントIDを収集する不審なモバイルアプリ

※本ブログは、Mobile Malware Researcher 中島大輔によるものです。
※本ブログの内容は2014年3月28日時点のものです。

複数のSNSを使いこなしているユーザーの中には、それらの全てのサービスをまたがって自分自身を特定できる情報を公開している人もいれば、完全に別ユーザーとして全く異なる用途で各サービスを使っている人もいるでしょう。後者のユーザーにとっては、あるサービスでの情報と別のサービスでの情報を関連付けられることはプライバシー上の懸念等から望まない場合も多いかもしれません。

McAfeeは最近、Android端末ユーザーのGoogleアカウントID(多くの場合、Gmailメールアドレス)、FacebookアカウントID(ログイン用メールアドレス)、およびTwitterアカウントIDを密かに収集する不審なアプリをGoogle Play上で確認しました。これら複数のサービスでのユーザーアカウントIDが関連付けられて収集されるため、後で悪用・転売などされる可能性があります。なお、本アプリは、本執筆時点で約1000~5000件のダウンロードが確認されています。


Fig.1: Gmail, Facebook, TwitterのアカウントIDを収集するAndroidアプリ

このアプリは、YouTube上のいくつかのセクシー動画へのリンクをユーザーに提供するだけの動画閲覧アプリとして実装されています。しかし、このアプリ起動時には、端末に登録されているGoogleアカウントID、FacebookアカウントID、TwitterアカウントID、および端末の国・言語といった情報が無断でアプリ開発者の外部サーバーへ送信されます。これらの情報はアプリの動作には全く無関係であるため、不正な情報収集が目的だと考えられます。


Fig.2: 外部サーバーに情報が送信されている様子

GoogleアカウントIDを密かに収集するAndroidアプリについて以前のブログで紹介したように、アプリのインストール時に「端末上のアカウントを検索」(GET_ACCOUNTS)権限を許可すると、アプリはAccountManager.getAccountsByType()等のAndroid APIを使用して、端末に登録済みの様々なサービスのアカウント情報(パスワードは除く)を取得することが可能になります。パスワードを盗まれるわけではないため、即座にアカウントへの不正アクセス等が行われるわけではありませんが、サービスによってはアカウントIDがメールアドレスや電話番号である場合も多く、スパムやフィッシング等に悪用される可能性があります。また、複数のサービスのアカウントIDを取得されることにより、例えば、あるGmailアドレスを持つユーザーをFacebookやTwitter上で特定し詳細な個人情報や嗜好情報を収集するためのヒントを悪意ある人物に与えることにもなります。


Fig.3: 「端末上のアカウント検索」権限の要求と、アカウント情報取得可能なサービスの例

アプリが「端末上のアカウントを検索」(GET_ACCOUNTS)権限を要求してきた場合は、そのアプリが信頼できる開発会社から提供されているものか注意して確認してください。また、SNS等のサービスのプライバシー設定において、メールアドレスによる検索を許可、といった項目を不必要に有効化しないことをお奨めします。

McAfee Mobile Securityは、この不審アプリを Android/AccLeaker.A として検出します。

導入前に押さえたい 運用基盤としてのSIEM 活用ポイント

セキュリティ運用効率化の実現基盤としてのSIEMについて、マカフィーが実際にお客様のSOC の体制確立の支援時に提供している、SIEM 導入前の計画から運用を開始までの流れや、継続するために提供しているサービス例も交えて、ホワイトペーパーとしてまとめました。

■ホワイトペーパー記載内容■
・SIEM と運用の効率化
・効率化:運用のどんな作業が楽になるのか?
・基盤:ログの統合、ノウハウ蓄積、情報共有
・不安:使いこなせるのだろうか?
・注意!:SIEM の有効活用は導入前に決まる?
・ビフォー・アフター:ログ・ノウハウ・情報の共有基盤化

この資料を読むことで、SIEM活用のポイントが理解でき、導入を成功させるための注意点を把握することができます。SIEMに興味がある方は是非ダウンロードしてお読みください。