Androidユーザーのお客様は、Google Play Storeからアプリをダウンロードすれば安全であると思われるかもしれません。それはもっともなことですが、完全に正しいとは言えません。

厳格なセキュリティチェックにより、Play StoreはAndroidアプリを入手するうえで最も安全な場所となっていますが、完全に安全というわけではありません。Googleのアプリストアは、サイバー犯罪者にとっても、お客様のデータを収益化(したがって侵害)する開発者にとっても格好の標的であり、リスクが100%なくなることは決してありません。

そのため、お客様は慎重にアプリを選ぶ必要があります。ダウンロードする前にアプリを審査し、すでにダウンロードしたアプリを監査し、侵害が発生した場合に備えてデバイスのデータを保護する必要があります。

悪意のあるアプリがどのようにしてGoogleをかいくぐるのか

昨年、Googleはポリシーに違反する175万件のアプリの公開をブロック(新しいウィンドウ)し、8万以上の開発者アカウントを禁止しました。ほとんどのAndroidデバイスに組み込まれているGoogle Playプロテクト(新しいウィンドウ)は、危険なインストールの試行を2億6,600万回ブロックしました。

しかし、Googleにできることには限界があります。サイバー犯罪者は、Googleの公開前およびインストール前のスキャンを回避する方法を常に模索しています。

一般的な手法:

  • 審査のためにクリーンなアプリを提出し、その後リモート更新を介して悪意のあるアクティビティを送り込む。
  • 悪意のあるアプリを、シンプルな(かつ機能的な)ユーティリティアプリに偽装すること(ドキュメントスキャナーやPDFリーダーなど)。
  • 悪意のあるアプリをセキュリティアプリやウイルス対策アプリに偽装する。これは特に巧妙で効果的な偽装手法です。ユーザーが問題を解決しようと焦っている場合、インストールする前に入念に確認する可能性が低くなります。

2,029個のアプリ(新しいウィンドウ)が毎日Play Storeで公開されているため、悪意のあるアプリがGoogleの網をすり抜けてしまうのは避けられません。昨年、Bitdefenderは、少なくとも331個の悪意のあるアプリが関与する、「Vapor」というコードネームの(新しいウィンドウ)広告詐欺キャンペーンを暴きました。これらのアプリの一部は、ユーザーの認証情報やクレジットカードデータを収集していました。

これらのアプリは、Play Storeから6,000万回以上ダウンロードされました。

合法的なアプリであっても、お客様のデータが危険にさらされる可能性があります

Play Storeで注意すべき危険は、悪意のあるアプリだけではありません。お客様の個人情報やトラッキングデータを密かに収集・保存し、広告ネットワークなどのサードパーティと共有する合法的なアプリも存在します。

昨年、NowSecureがiOSとAndroid全体で25,000個のアプリをテスト(新しいウィンドウ)したところ、テストされたiOSアプリの75%とAndroidアプリの70%が、機密データとトラッキングドメインの両方を収集していることが判明しました。

GoogleがこれらのアプリをPlay Storeで許可しているのは、開発者がアプリの製品ページのデータ安全性セクションにおいて、収集するデータとその理由を公開しているためです。

Googleは2025年にポリシーを強化し、機密データへの「過剰なアクセス」を行う25万5,000個のアプリをブロック(新しいウィンドウ)しました。しかし、これにより、Googleのポリシーの文面上は問題なくデータを収集しているものの、ユーザーが想定する範囲をはるかに超えてデータを収集している数千ものアプリがブロックされずに残ることになります。

これは単なるプライバシーの問題ではなく、危険なことでもあります合法であるもののデータを渇望するアプリは、日常的にユーザーデータを広告SDKや分析パートナーと共有しています。これらのサードパーティは、そのデータを悪質なデータブローカーに引き渡す可能性があります。

この連鎖におけるすべてのリンクが、潜在的な侵害ポイントとなります。お客様のデータが侵害された場合、手遅れになるまで気づかない可能性があります。

注意すべき点:5つのチェックリスト項目

お客様が参照できる、禁止された(または禁止されるべき)アプリの信頼できる最新のブラックリストは存在しません。

しかし、危険なアプリを特定するために、お客様が注意できる点があります:

  1. データ安全性セクションを確認する:開発者がどのようなデータを収集し、それをどのように使用するかを説明しているか確認します。データ安全性セクションが空欄である場合は当然重大な警告信号ですが、アプリの機能と一致しないポリシーも同様です。懐中電灯アプリがお客様の連絡先を知る必要はありません。
  2. インストール時の権限を確認する:アプリをインストールすると、多くの場合、位置情報、連絡先、ストレージ、位置情報、マイクへのアクセスが求められます。妥当な場合もありますが、過剰と思われる場合もあります。重ねてお尋ねしますが、壁紙アプリにお客様の位置情報を知らせる必要があるでしょうか?
  3. 開発者名と履歴を確認する:開発者は、他のアプリを公開しており、ウェブ上でも確認できる実績のある企業ですか?それとも、そのアプリ1つしか登録されていない個人アカウントで、背景情報となるような手がかりが一切ない状態ですか? 
  4. レビューが本物かどうかを確認する:サクラのレビューは、あからさまなパターンで現れる傾向があります。短期間に星5つのレビューが大量に投稿されるのは、よく知られた不正操作の手口です。好意的なレビューの中に批判的なレビューが散見されるか、また投稿日が幅広く分散しているかを確認してください。
  5. 無料のユーティリティアプリに注意する:悪意のあるアプリやデータ収集アプリの最も一般的な偽装は、無料の懐中電灯やバッテリーアプリ、キーボードアプリ、無料の写真編集ツール、位置情報へのアクセス権を求める天気アプリ、広告付きゲームなどです。アプリが無料であり、その機能から開発者がどのようにして利益を得ているのかが分からない場合、お客様のデータが彼らの収益モデルである可能性があります。

お客様のデータを保護する方法

お客様が十分に注意を払っていたとしても、Play Storeから悪意のあるアプリをダウンロードしてしまう可能性はあります。しかし、適切な保護対策を講じておけば、そのアプリによる被害を最小限に抑えることができます。

Proton VPNでお客様の接続を暗号化する

悪意のあるアプリは、暗号化されていない接続を介して、お客様のデータ(閲覧履歴、位置情報、デバイス識別子など)を送信しようとすることがよくあります。

Proton VPN(入力)のご紹介:これは以下の機能を持つ安全なVPN(新しいウィンドウ)です。

  • ネットワークレベルでスマートフォンの送受信データをすべて暗号化し、閲覧履歴、位置情報、デバイス識別子の送信や傍受を大幅に困難にします
  • 公衆Wi-Fiにおけるネットワークレベルの監視を防止します(これは侵害されたアプリにとって一般的な攻撃ベクトル(新しいウィンドウ)です)
  • データ送信をブロックすること(これらは分析SDKが依存しているもので、組み込みのトラッカー・広告ブロッカーであるNetShield(新しいウィンドウ)を介して行われます)により、開発者がサードパーティと共有できるデータを制限します

Proton Passでお客様の認証情報を保護する

悪意のあるアプリは、目に見えないキーロガーやフィッシングのオーバーレイを使用して、ログイン認証情報を盗み出します。多くの人々がそうであるように、お客様が複数のアカウントで同じパスワードを使い回している場合、これは特に深刻な被害をもたらす可能性があります。

Proton Passは、両方の問題に対応(アドレス)する安全なパスワードマネージャーです:

  • お客様が作成するアカウントごとに固有のパスワードを生成するため、1つのアカウントが侵害されても、すべてが侵害されるのを防ぐことができます
  • パスワード、パスキー、クレジットカードを、エンドツーエンドのゼロ知識暗号化で保護します。これは、お客様の認証情報がデバイスから送信される前、つまりデバイスで暗号化されるため、Protonであってもアクセスできないことを意味します。

マルウェアを削除する方法を知る

お客様のデバイスが侵害されたのではないかと懸念されている場合、または侵害された際にどのような点に注意すべきかを知りたい場合は、必ず携帯電話がハッキングされた兆候を認識できるようにしてください。