図1 「Tap Snake」の画面例(米トレンドマイクロの情報から引用)。このバックグラウンドで、スパイ用のプログラムが稼働している
図1 「Tap Snake」の画面例(米トレンドマイクロの情報から引用)。このバックグラウンドで、スパイ用のプログラムが稼働している
[画像のクリックで拡大表示]
図2 Tap Snakeで取得した位置情報を表示する「GPS Spy」の画面例(米シマンテックの情報から引用)。Googleマップ上に表示できる
図2 Tap Snakeで取得した位置情報を表示する「GPS Spy」の画面例(米シマンテックの情報から引用)。Googleマップ上に表示できる
[画像のクリックで拡大表示]

 セキュリティ企業各社は2010年8月17日、Androidを搭載した機器に感染する新たなウイルス(悪質なプログラム)を確認したとして注意を呼びかけた。ゲームに見せかけたウイルスをインストールすると、位置情報を第三者に送信されてしまう。

 今回、悪質な挙動が確認されたのは、「Tap Snake」という名称のアプリ(図1)。「スネークゲーム」と呼ばれるゲームの一種だとうたっている。スネークゲームとは、“へび”に見立てた連なった点を操作して、画面中の“えさ”に見立てた点を食べさせる単純なゲーム。Tap Snakeでは、画面をタップすることで、自動的に移動する“へび”の方向を変えて“えさ”を食べさせる。

 Tap Snakeには、スネークゲーム以外の機能も組み込まれている。機器の位置情報を取得して、特定のサーバーに送信する機能だ。ゲームを終了しても、この機能はバックグラウンドで動き続け、15分ごとに位置情報を送信する。

 この位置情報は、「GPS Spy」というAndroidアプリを使えば取得できる。取得した位置情報は、Googleマップ上に表示可能(図2)。Tap Snakeは無料だが、GPS Spyは4.99ドル。GPS Spyをインストールすると、監視したいAndroid機器にTap Snakeをインストールするよう促される。

 ただし、Tap SnakeとGPS Spyを使って特定のユーザーを“監視”するには、Tap Snakeのインストール時に、キーコード(6文字以上の任意の英数字)を入力する必要がある。GPS Spy側でも同じキーコードを登録することで、特定の機器の監視が可能になるのだ。

 つまり、監視対象の機器にTap Snakeをインストールさせるだけでは、位置情報を取得できない。上記のような登録作業が必要なので、攻撃者は、監視対象の機器に物理的にアクセスする必要がある。このためフィンランドのエフセキュアや、米シマンテックなどのセキュリティ企業では、Tap Snake/GPS Spy自体の危険性は低いと分析する。

 とはいえ、今後はより悪質なアプリが出現する可能性が高いので、アプリをインストールする際には十分注意するよう各社とも呼びかけている。