米グーグルは2012年2月2日、Android Market(3月7日から「Google Play」に名称変更)で配布するアプリケーションの安全性を確保するために、2011年から「Bouncer」(用心棒)と呼ばれるマルウエア検知システムを使ってアプリを自動検査していることを明らかにした。既知のマルウエアと同じかどうかをチェックするだけでなく、動作を解析し、不審な動きを見せるアプリを排除する点が特徴だ。
米グーグルの発表によると、Android Marketには2011年から「Bouncer」というコードネームが付けられた仕組みが追加されているという。Bouncerは、新規登録あるいは登録済みアプリケーションを解析して、既知のマルウエアが含まれていないか、マルウエアに相当する不審な挙動をしていないかなどをチェックする(図1)。
実は、Android Marketにおけるマルウエアスキャンは、開発者などの間ではしばらく前から話題には上っていた。2011年に入った頃から、既知のroot(管理者)権限取得アプリケーションやマルウエアの新規登録が却下されるようになったり、マルウエアと判定されたアプリケーションをまとめて削除したという発表の頻度が高くなったりと、変化が見られたためだ。今回の発表で、その存在が裏付けられた。
Bouncerでは、3種類の検査を実施する。(1)パターンマッチングによって、アプリケーションに既知のマルウエアやスパイウエアなどが含まれていないかを分析(静的解析)する、(2)アプリケーションをクラウド上で実際に実行して挙動を分析(動的解析)し、既知のマルウエアの動作と類似した動きをするものや、危険な挙動を示すものを検知する、(3)新規の開発者アカウントを分析して過去に別アカウントなどで不正行為を働いていないかをチェックする---である。
これらの対策により、2011年後半にAndroid Marketからダウンロードされたマルウエアの数は、同年前半に比べて40パーセント減少したという。Android Marketはこれまで、米アップルのApp Storeなどに比べて危険だとされていたが、Bouncerによって安全性が向上したと考えられる。
2010年までは無審査だった
2010年までAndroid Marketでは、事実上、配布アプリケーションの事前審査を実施していなかった。そのため、Androidのセキュリティホールを突いてroot権限を奪取するアプリケーションや、ユーザーの情報を不正に外部に送信するようなマルウエアが、アプリケーションに紛れて公然と配布される状態が続いていた。
もちろん全く何も管理しなかったわけではない。利用者や技術者などからの指摘を受けた場合にはアプリケーションを審査し、マルウエアと認定した場合にはAndroid Marketから削除する対応をしていた。
しかしこうした事後審査の体制では、一時的にせよアプリケーションがマーケット上で公開されてしまうため、ユーザーがマルウエアを入手してしまう危険性を排除できない。ユーザーにとってみれば、“無審査”といってよい状態である。
アプリケーション開発者についても、アカウント申請時に本人名義のクレジットカード番号の登録を求めるなど一定のハードルを設け、問題のあるアプリケーションを配布したアカウントは利用停止措置を講じることもあった。ただしアカウント分析までは行っておらず、別アカウントを取得することで同じ開発者が繰り返しマルウエアを登録できるのが実態だった。
