図●ゲームアプリの所有権が奪われた事件の概要(IPAの情報から引用)
図●ゲームアプリの所有権が奪われた事件の概要(IPAの情報から引用)
[画像のクリックで拡大表示]

 情報処理推進機構(IPA)は2014年9月1日、大手企業などをかたって配信されている非公認のスマートフォンアプリについて注意を呼びかけた。非公認アプリに登録したアカウント情報(ユーザーIDとパスワード)を盗まれる恐れがある。

 2014年1月ごろ、国内の大手チェーン店などをかたるスマートフォンアプリがApp StoreやGoogle Playのような公式マーケットで公開されて話題になった。アプリは大手チェーン店などの公式サイトに接続する機能を備え、アプリ名などからも公式アプリのように見えるが、実際には非公認。名前をかたられた各社は、公式のアプリではないので使わないよう注意を呼びかけていた。ただこのときは、非公認アプリによる具体的な被害は確認されなかった。

 ところが2014年8月、実害を及ぼす非公認アプリが確認された。非公認アプリに登録したApple IDとパスワードが盗まれ、そのアカウントが乗っ取られたという。

 被害に遭ったのはゲーム作者で、米アップルが提供する開発者支援の公認アプリ「iTunes Connect」と、ゲームアプリの売り上げを管理するための非公認アプリを利用。それぞれに、Apple IDとパスワードを登録していた。

 非公認アプリは、登録されたアカウント情報(Apple IDとパスワード)を攻撃者に送信。攻撃者は詐取したアカウント情報を使って、そのゲーム作者になりすまし、ゲームアプリの所有権を奪ったという()。

 この事件のように、企業などが運営する公式サイトに接続する非公認アプリの場合、そのアプリに入力したアカウント情報を盗まれる恐れがある。このためIPAでは、利用の際にユーザーIDやパスワードが必要なサービスについては、サービス事業者公認のアプリを利用することを推奨している。

[IPAの情報]