ランキング1位のアプリは実は詐欺アプリ

「Virus Shield」は、ダウンロード数が1万を超え、アメリカのPlayストアでは、$3.99の有償アプリで、ランキング1位に輝くほどのアプリでした。

このアプリは、動作が軽いセキュリティ対策アプリとして評価されていましたが、実は何もしないアプリであることが、Android情報サイト「Android Police」の解析によって判明しました。このアプリは、マルウェアでもアドウェアでもないので、インストールしても実害はありません。何かやっているように見せかけているだけで、ウイルススキャンは実行していません。

大きな騒ぎとなったためか、Googleは、Virus Shieldを購入したユーザに、アプリ代金を全額返金するとともに、お詫びとして、$5のGoogle Playクレジットを提供するとメールで連絡をしています。

• Google Issues Refunds And An Extra $5 Play Store Credit To Android Users Who Bought The Phony 'Virus Shield' App

なぜGoogleが？と見ることもできますが、Playストアでラインキング一位に輝いたアプリがお粗末なだったので、Playストアの信頼度を失うことを嫌って、事態の沈静に乗り出したとも見られます。

Googleは、セキュリティ強化の取り組みを発表

Googleは、今回の騒ぎを受けてかVerify appsの機能強化を行うと発表しました。

Verify appsは、Android 4.2からセキュリティ強化の一環として搭載されました。（⁠日本語では、設定アプリの［セキュリティ⁠］⁠-［⁠アプリの確認］です。）この機能は、ユーザに損害をもたらす可能性がアプリのインストール禁止、インストール前に警告を表示する機能を持っています。

今回の機能強化で、アプリをインストールした後でもユーザに損害をもたらすよ動きがないか定期的にチェックするようになりました。また、動作対象がAndroid 2.3までに拡大されています。Verify appsを導入後、これが警告した後インストールされたアプリは、0.18％であったと、有用性を強調しており、今回のアップデートでより強固なものになるはずです。

しかし、2012年12月に、米ノースカロライナ州立大学のコンピュータサイエンス学部の調査では、Android 4.2のVerify appsのマルウエア検出率は20.41％で、セキュリティソフトメーカのアプリは、51.2％から100％の検出率で比較すると劣る性能であると公表しています。

今回の機能強化で、既存のセキュリティ対策アプリと似た動きになり、検出率も向上するはずですが、有用性が証明されるまでは、セキュリティソフトメーカが開発するセキュリティ対策アプリをインストールすることをオススメします。

Playストア自体の仕組みが限界なのか？

Virus Shieldのような事件が起こると、AndroidもiOSのように「アプリの審査を行えばよいのでは？」との議論が持ち上がります。

第三者でも分かるようなバグや不都合のある造りならば、審査の段階で気付いて不合格とすることは可能です。しかし、アプリの動作までを解析するのは、手間のかかる話で、審査段階で判断するのは困難なはずです。事実、iOSでも審査をすり抜けて、ユーザが話題にして、アプリの公開が取り下げられることがあります。今回ケースでは、仕組みだけでカバーするのは、なかなか難しい話で、Playストアの仕組みに問題があり、アプリを審査すれば解決するという話でもありません。

これで完璧になるとは思えませんが、まったく別視点で、Androidデベロッパーの登録費用は、初回の$20だけですが、これとは別に、同額程度の年会費を徴収して、毎年、ふるいにかけるような仕組みを導入することで、有象無象の状態ではなく、ユーザに安心を与えるのもよいかもしれません。

新しい手口は、いくらでも考えられ、Verify appsの機能強化でもいたちごっこになるはずです。セキュリティ関しては、何かを導入するば、万全ですべて解決とはならないはずで、自衛のためにも、ある程度の知識を身につけるのも悪い話ではありません。