これまで「App Hive」で平和に相互テストをしている私ですが、先日、他グループの「あるアプリの挙動がおかしいので調査してほしい」という依頼を受けました。

システム屋の端くれとして、セキュリティ調査も大事なお仕事。 しかし、実際にそのアプリを調べてみると……「便利さと危険は紙一重」であることを痛感させる事例に遭遇。

今回は、私が実際に調査したアプリ(子供用タッチブロックアプリ)を例に、「一見安全そうなアプリの裏側にあるリスク」について解説します。 これは特定のアプリの批判ではなく、私たちのスマホを守るための「自衛の知識」のお話です。

1. ストアの「表の顔」:データは収集されません?

今回取り上げるのは、「子供が勝手に操作しないように画面を無効化(タッチブロック)するアプリ」です。 まず、Google Playストアの「データ セーフティ」セクションを見てみましょう。

疑わしいプリのGoogleプレイストアの掲載情報

データは収集されません」 このアプリはユーザーデータを収集しないことをデベロッパーが申告しています。と、ハッキリ書かれています。 これだけ見れば、「オフラインで動く便利なツールだな。安全だな」と思ってしまいますよね。 しかし、ここが最初の落とし穴です。この表記はあくまで「現時点での開発者の自己申告」に過ぎません。

本当に見るべきなのは、「何をしなくていいか(データ収集)」ではなく、「何ができる能力を持っているか(権限)」なのです。

2. その機能、実は「諸刃の剣」

アプリの中身を詳しく見るために、権限周りを調査しました。すると、このアプリは以下の非常に強力な権限を要求していることがわかりました。

apkファイルにより判明した実際の権限
  • android.permission.QUERY_ALL_PACKAGES (端末に入っている全てのアプリを知ることができる)
  • android.permission.SYSTEM_ALERT_WINDOW (他のアプリの上に重ねて表示する)

ここで重要なのは、「このアプリにとって、これらの権限は(機能を実現するために)正当である可能性が高い」ということです。

  • 画面へのタッチを無効化するには、透明な膜を「重ねて表示」して入力を奪う必要があります。
  • 特定のアプリ使用時だけロックする機能などを実装するには、今なんのアプリが開かれているかを知るために「全アプリの把握」が必要です。

つまり、開発者に悪意がなかったとしても、「仕組み上、どうしても強力な権限が必要」なのです。しかし、ここにとてつもないリスクが潜んでいます。

3. 何が危険なのか?システム屋が解説

この2つの権限は、悪用すれば「最強のハッキングツール」に化けます。 システム屋の視点で見ると、以下のような攻撃シナリオが理論上可能になります。

  1. ターゲット特定: QUERY_ALL_PACKAGES で、あなたが「〇〇銀行アプリ」を使っていることを検知する。
  2. 偽画面の表示: あなたが銀行アプリを開いた瞬間、SYSTEM_ALERT_WINDOW を使って、本物そっくりの偽のログイン画面を上に被せる。
  3. 情報の窃取: あなたが入力したIDとパスワードは、銀行ではなく攻撃者に送信される。

ユーザーから見れば「画面をロックしてくれる便利な機能」ですが、裏を返せば「あなたの見ている画面をいつでも乗っ取れる権利」をそのアプリに与えているのと同じなのです。

4. 「データ収集なし」の本当の意味

冒頭の「データは収集されません」という言葉。 これは、「今は収集するプログラムコードを入れていません(あるいは動かしていません)」という意味に過ぎません。

もし、この強力な権限を持ったアプリが、ある日「悪意ある第三者」に買収されたらどうなるでしょうか? あるいは、自動アップデートでこっそりプログラムが書き換えられたら?

すでにあなたのスマホの中で「最強の権限」を持っているこのアプリは、その瞬間からマルウェアへと変貌できてしまいます。 玄関の鍵(権限)を渡してしまった相手が、いつまでも善人である保証はどこにありません。

結論:便利さの「代償」を理解しよう

今回の調査結果をGoogleにも報告しましたが、規約上、機能に必要な権限であれば削除対象にはならないことが多いです。 だからこそ、自分の身は自分で守る必要があります。

教訓はシンプルです。「便利な機能には、相応のリスク(権限)が必要になる」ということ。

アプリをインストールする際、以下の権限を求められたら、一度立ち止まって考えてみてください。

  • 全パッケージのクエリ (QUERY_ALL_PACKAGES)
  • 他のアプリの上に重ねて表示 (SYSTEM_ALERT_WINDOW)

「本当にこのアプリに、私の生活のすべて(銀行、SNS、写真)を覗ける権利を預けてもいいほど、その開発者は信頼できるか?」

特に、電卓やライトといったシンプルなツールが不釣り合いなほど強力な権限を求めてきた場合は、インストールを避けるのが賢明です。 自分のスマホを守れるのは、最終的にはセキュリティソフトではなく、自分自身の「慎重さ」だと思った次第です。