今回アップルの公式配信サイトで発見されたマルウエアは「Find and Call」というロシアのアプリで、米アップルのiOS向けと米グーグルのAndroid向けが存在していた。いずれも現在は公式配信サイトから削除されている。
このアプリで「連絡先データの中の友人を探す」という機能を実行すると、端末に登録した連絡先のメールアドレスや電話番号といったデータが無断で外部のサーバーに送信される。また、サーバーはそのデータを使って迷惑メッセージを送り、同アプリのダウンロードを促す。アップルの公式配信サイトでは、アプリを登録する際の審査が厳格なので、公式配布サイトにマルウエアはないと言われていたが、「Find and Call」でその常識が覆った。
公式配信サイトで提供されたマルウエアで、情報が大量に漏洩した事件も発生している。日本では4月に「the Movie」と総称されるAndroid向けのマルウエアが問題になった。100万人規模の個人情報が流出した恐れがあるという。
こうした事件が発生すると、公式配信サイトにおけるマルウエアのチェック体制や、マルウエア開発者の取り締まりを強化すべきだという声が必ず上がる。
しかし私は、それでは不十分だと考える。「Find and Call」や「the Movie」は明らかに公式配信サイトで提供されてはいけないアプリだが、スマホのアプリがマルウエアであるかどうかの判断は一般に難しいためだ。
