パスワードを忘れた? アカウント作成
6461371 story
Android

Android 電話帳アプリで個人情報垂れ流し発覚 111

ストーリー by reo
てへぺろ 部門より

masakun 曰く、

ユーザーがインストールした Android の電話帳アプリ経由で、76 万件の個人情報が外部に送信されたことがニュースになっています (時事ドットコムの記事Sankei Biz の記事より) 。

問題のアプリは「全国電話帳」。Google Play の説明によりますと「過去のハローページとタウンページに掲載された約 3800 万件の情報をもとにデータベースを作成しています。加えて、アプリ利用者のアドレス帳、GPS の情報も利用し…ていましたが、DB に mysql で直接アクセスして SQL 叩いてデータを取られる問題がありまして、利用できなくしました。」とのこと。

Togetter のまとめによりますと、実行された 3387 台 (10/6 10:38 現在) のスマホから、アプリの利用者だけでなく、利用者の友人や取引先の電話番号を含めた 76 万件が流出した模様。

この仕様について、作者の tottoriloop 氏曰く、「以前、ダダ漏れアプリが問題になっていましたが、報道通り、そんなにデータが集まるものなのかと思いまして」と、実験だったと釈明。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by marute (13883) on 2012年10月07日 22時24分 (#2246895) 日記

    政治的主張が目的 [twitter.com]らしい。

    • by masakun (31656) on 2012年10月07日 23時06分 (#2246911) 日記

      これですかね。

      住所でポン!と衆愚政治 [tottoriloop.miya.be]

      ひとつの社会実験、また現実を突きつける方法として、さまざまな意味合いで公開した住所でポン!ですが、やはりというべきか通報されまくっています。要はただの電話帳なのですが、個人情報保護ということが叫ばれて久しい今ではこれを「犯罪」と思い込んでいる人が多いようです。じゃあ、どの法律のどの条文により犯罪なのかと聞いても、だれも答えられません。何となく「ネットに本名住所を載せてはいけません」という空気が、ありもしない犯罪が存在するような錯覚を起こさせているのでしょう。

      でも、Android アプリ経由で大量の個人情報をぶっこ抜くのとは論点が異なるので、あえてタレコミでは触れませんでした。

      --
      モデレータは基本役立たずなの気にしてないよ
      親コメント
      • by Anonymous Coward
        そのブログに「何ら深い思慮もなく「ネットに個人情報を載せるのは危険だ」という空気が広がって、たかが電話帳で大騒ぎするような国民を生み出してしまったわけです。」とあるのに、自分の氏名・住所・電話番号を公開していない不思議
        • by yug (32253) on 2012年10月09日 14時01分 (#2247657)

          | 自分の氏名・住所・電話番号を公開していない不思議

          住所でポンや全国電話帳の作者であるという情報を始めとした、
          Blog 上での発言内容すべてを紐付けて 氏名・住所・電話番号を掲示することと、
          何も付帯情報の無い、氏名・住所・電話番号 では違うということが分からないのでしょうか。

          親コメント
        • by fukapon (4131) on 2012年10月09日 13時18分 (#2247631)

          公開してるよ [tottoriloop.miya.be]、本物かは知らんけど。
          050なあたり、さすがに電話番号は慎重な感じを受けますね。

          ネットに個人情報を載せるかどうか、個人情報なのだから、その個人が判断して好きにできればそれでいいと思うんだけどねぇ。
          何事にも危険はあり、危険なのは事実。その危険がどれだけか、その個人にとっての評価はどんなものかをザッと無視して強要しちゃう理由って何だろう。
          確信犯故に、他者に「強要する」という意識がないのだろうか。

          親コメント
          • by Anonymous Coward on 2012年10月09日 14時00分 (#2247656)

            > 他者に「強要する」という意識がないのだろうか。

            自己の主張を他者に強要するための一種のテロ行為ですから
            一番効果的に強要できる手段として意図した結果です。

            ただし、強要したい相手とは、極端に言うと全人類であり
            今、実際にこの被害を受けている各個人に対しては
            「見ろ人がゴミのようだ」という感覚でしょうね。

            親コメント
            • by fukapon (4131) on 2012年10月09日 16時33分 (#2247733)

              そうか、なるほど。
              まず認識、理解してもらうためじゃないんだもんね...

              ついつい己に置き換えて、ゆるいステップを考えてしまった。

              親コメント
        • by Anonymous Coward
          すみません、こちら [tottoriloop.miya.be]で公開されていました。
        • by Anonymous Coward

          誰かが言ってましたが、個人と個人情報(住所氏名電話)が結び付くのが危険なんだそうです。

          本件の場合、「この様な政治的主張を行っている個人」と、その「個人情報」がむすびついちゃう事で、なんらかの被害に遭う可能性が飛躍的に高くなる…と。

        • by Anonymous Coward

          深い思慮の結果、そんなもん公開したら、自分が不利益を被ると判断したからだろ。
          電話帳の中の一電話番号と、特定の誰かの電話番号とでは全然意味が違う。

  • 以前どこかのストーリーでも書きましたが、Android端末のRoot権限を取得していて、尚且つパーミッションに関する知識があるならばPermissions Denied(無料版はPermissions Free)を使うのが一番いいのではないでしょうか。いくつかのウェブサイトではRoot権限を取得すると危ないよみたいな事を言っていましたが、理解あるユーザーがセキュリティをがっちがちに固めてしまえば、非Root状態よりもひょっとしたらよりセキュアな端末にできるんじゃないかなあと思ったり(もっとも、自分がその「理解あるユーザー」の一人であるという確証は全くないのですが)。

    # そういえば過去にLBE privacy guardを推奨してくれた方がいましたが、結局上のアプリになってしまいました。LBEの権限をいつのまにかいじっている自分に気づいてしまったので……

    --
    自由の行使には責任を伴わなければならない
  • by iwakuralain (33086) on 2012年10月09日 12時40分 (#2247589)

    いったい何と連携されるかわかったもんじゃないので、連携とか連帯とかいった機能は基本的にOFFにするようにしてる。
    まぁそれでもぶっこ抜くようなアプリがあったら防ぎようがないけど・・・

    • by Anonymous Coward

      アドレス帳へのアクセスを要求するようなアプリをインストールしなければいいだけ。説明に「加えて、アプリ利用者のアドレス帳、GPS の情報も利用し…」とまで書かれてるのにホイホイインストールする馬鹿には防ぎようがないだろうな。
      それよりそういう馬鹿が家族や交友関係に一人でもいたら自分がどんなに気をつけていても流出を防ぎようがないのが問題。

      • by Anonymous Coward on 2012年10月09日 19時54分 (#2247868)

        説明や注意書きに書いてあるのを読まないで、無料だからとかでホイホイインストールするのは確かに馬鹿だと思う。

        だが、「電話帳」を銘打つアプリで、デバイス内の「アドレス帳を利用する」とかアクセスすると言われて、そのアドレス帳の中身をごっそりサーバーに送るということを想定できるユーザーはそうそういないだろうさ。
        一般ユーザーが「アドレス帳へアクセスする」と言われて考えるのは、「ユーザーの利便性のためにアプリがローカルでアクセスする」といった状況であって、「アプリ提供者が自身の利益のためにサーバーに吸い上げるためにアクセスする」ことだなんて考えないだろう。

        そういう危険性を考えない方がいけないという考え方もあるだろうが、それ以前に、アプリの提供側も、ユーザーに属する情報を許可無く収集して利用する事が、やっていいことなのかを考えないとダメだ。

        親コメント
    • by Anonymous Coward

      「ネットワークアクセス」と「アドレスブック」「カレンダー」などの個人情報系
      の両方に要求するアプリは可能な限り入れたくないですねぇ

    • by Anonymous Coward

      未だにHybridW-ZERO3の私大勝利。
      いや、セキュリティ上、別の問題はありそうなのは目をつぶって・・・。

  • by Anonymous Coward on 2012年10月09日 14時11分 (#2247661)

    同じところが作ったやってることが似たアプリがiOSにもあるため、
    iOS版がどういう扱いになるかすごく注目してます。

    また、以前のiOSそのものでの個人情報の勝手な収集、
    iTunesへの勝手な保存(しかも暗号化すらせず)、
    あまつさえAppleのサーバーに情報送信していても
    「単なるバグだ、直したから問題ない」
    ですませているAppleにおいては
    今回の件が問題になるならAppleも同罪になりますので
    気が気じゃないでしょうね。

  • by Anonymous Coward on 2012年10月09日 12時35分 (#2247582)

    LINE がやってることとどうちがうのか知りたいんだけど?

    • by Anonymous Coward

      LINE はまだ流出させてない

    • by Anonymous Coward

      LINEは番号をhashで送ってるんじゃなかったっけ?

    • by Anonymous Coward

      LINEは大企業がビジネスでやってる

  • by Anonymous Coward on 2012年10月09日 13時13分 (#2247624)

    3387台のスマホから76万件流出ってことは、一台あたり224件の電話番号とかが入ってたと。

  • by Anonymous Coward on 2012年10月09日 13時32分 (#2247646)

    https://twitter.com/tottoriloop/status/254485901391056896 [twitter.com]

    > まあ、全国電話帳に関してはもう当分はデータの取得はできないと思う。MySQLに直接接続してSQLでデータ取得するというような事は想定していなかったし、これは私のミス。

    ネットワーク接続や、データベースの基本を知らずにやっちゃうあたり、無免許で公道疾走に似てる気がする。

  • by Anonymous Coward on 2012年10月09日 13時36分 (#2247648)

    世の中Googleが考えるより、不注意な人が多かったということなんだろう。

    インターネットや電話帳にアクセスするアプリなんかは事前審査制にするとか対策をすべき。

    • インターネットや電話帳にアクセスするアプリなんかは事前審査制にするとか対策をすべき。

      後者はともかく、前者はほとんど全部だろ。むり。

      #またしてもゴミ役人が天下れますね、ケケケ(死ね)

      親コメント
    • by Anonymous Coward

      事前審査とか言い出したら個人情報保護以外にも
      もっと他に審査でふるい落とさないといけないアプリがandroidには多すぎると思いますけどね・・・
      著作権侵害系とか

      • by Anonymous Coward

        著作権系は審査しても無意味ってAppleさんが教えてくれたじゃん。
        いやGoogleがやるともうちょっとまともにやれるって主張ならそうなのかも知れないけど

        • by Anonymous Coward

          Youtubeを持ってるGoogleがやるともうちょっとまともになると信じられる根拠が何一つない

          • by Anonymous Coward

            Youtubeって審査してたんだ。それは初耳ですね

            • by Anonymous Coward

              Googleが事前審査してる事例がないなら、どうしてGoogleがやればもうちょっとまともになると信じられるのかますます理解不能。

  • by Anonymous Coward on 2012年10月09日 14時07分 (#2247659)

    何故逮捕されないのかわからない。76万件とか集めてたら個人情報取扱事業者とみなされるわけだし自ら報告しなかったのは刑事罰に問われてもおかしくない。それ以前に明らかに説明不足だし実験だったとか言い逃れしようとしてるだけでしょ。厳しく取り締まってほしい。

    • by Anonymous Coward on 2012年10月09日 14時15分 (#2247664)

      ほとんどがハローページの転載だから、それらの公開については何の問題もない。
      すでに法廷で判例もでている。煽ってる方がおかしい。残念かもしれないけどね。

      親コメント
    • by Anonymous Coward

      犯罪の定義は「ぼくがきにいらないもの」ではありません。

      • by Anonymous Coward on 2012年10月09日 15時53分 (#2247712)

        このアプリがどういう機能があると謳っていたのか知らないが、事前の説明も無しにユーザの意図しない動作をするように故意に作ったものであれば、ウィルス作成罪で立件できると思う。
        ただし、アプリ配布時に「このアプリは住所録にアクセスして外部に送信して全世界に公開します」と説明してあったなら問題ないと思う。

        中国人が日本中のIPアドレスのSQLで使われてるポートをスキャンしまくっている昨今、開放して誰でもアクセスできるようにしてたなんて、わざとだろ?

        親コメント
        • by Anonymous Coward on 2012年10月09日 23時27分 (#2247948)

          「事前の説明も無しに」ってのは間違いでは?
          「事前の説明を、他の商習慣の悪いところにあわせて分かりにくくして」ってネタだったと思う。

          親コメント
      • by Anonymous Coward

        ただし「警察が気に入らないもの」はありとあらゆる理屈をこね回して犯罪にされます。同一性保持権、器物損壊、公務執行妨害あたりは特に便利なようです。

    • by Anonymous Coward

      電話番号は個人情報に含まれないので保護する法律は存在しません。

typodupeerror

人生unstable -- あるハッカー

読み込み中...