世界のセキュリティ・ベンダーのブログから、押さえておきたい話題をピックアップし、紹介する。今回の1本目は、個人情報を平文で送信してしまうモバイルアプリについて。米マカフィーが、ブログで注意を呼びかけている。

 マカフィーが実験用のアカウントを使って米コストコのアプリケーションをテストし、トラフィック監視ツール「Fiddler」で通信を確認したところ、ログイン要求がプレーンなHTTPで送信されていた。つまり、公共無線ネットワークを使ってスマートフォンからオンラインショッピングをすることにいっそう慎重になる必要がある。

プレーンなHTTPで送られるログイン情報

 ほかにも同様のリスクを抱えたアプリエーションはないか詳しく調査したところ、驚いたことにそれは至るところで見つかったという。例えば中国で人気の「Weibo(微博)」。中国版Twitterと呼ばれ、メッセージを投稿したり、友達とチャットしたりできる。

Weiboのメッセージ画面

 Weiboでメッセージが投稿されると、Weiboのバックエンドに送信されるデータは、ネットワーク分析ソフト「Wireshark」でトラフィックをキャプチャして読むことができる。

Wiresharkで確認したデータ送信

 攻撃者はクッキーを使って、中間者攻撃を仕掛けることによりメッセージを盗聴するほか、書き換えることも可能だ。

 マカフィーはWeiboのチャット機能についても確認したところ、やはりWiresharkでテキストをはっきり確認できた。暗号化はされておらず、「攻撃して下さいとお願いしているようなもので、プライバシーなどまったくない」とマカフィーは批判している。

 4億人以上がインストールしている中国語入力ソフト「Sogou(捜狗)」には、さらに予想していなかったプライバシーンの問題が見つかった。

Sogouのユーザーインタフェース

 Sogouをインストールしている「Windows 7」搭載パソコンを「iPod」とUSB接続し、 Fiddlerで確認したところ、Sogouがマシンに接続されているデバイスの情報を収集していることが分かった。接続デバイスの種類、OSバージョン、シリアル番号などを取得している。

 Androidスマートフォンを接続したところ、Sogouが同様のデータを取得していることがFiddlerで確認された。

この先は会員の登録が必要です。今なら有料会員(月額プラン)が2020年1月末まで無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら