中国バイドゥがAndroidにバラまいた猛毒

20151109-00091732-toyo-000-3-view中国のバイドゥ(百度)が提供するAndroid用アプリに重大なセキュリティ上の問題が発覚。


その影響範囲の広さから衝撃が走っている。


この問題への対処は可能だが、感染経路などを考えると、今後の影響は広範囲に及ぶ可能性がある。

問題が見つかったのはバイドゥが提供しているAndroidアプリ開発キット(アプリ開発を容易にする部品集)の「Moplus」だ。


Moplusは、特に中国で開発されているAndroid用アプリに多数採用されている。影響範囲が広い理由の一つは、開発キット自身がセキュリティ問題を抱えているため、それを使って作成されたアプリにも同様の問題が存在している可能性を否定できないためだ。

バイドゥには前科

バイドゥがセキュリティ問題を引き起こしたのは今回が初めてではない。日本語かな漢字変換ソフト「simeji」に、入力した文字列をバイドゥのサーバーにアップロードする機能が備わっていることが発覚。自治体などが業務に使用していた例もあって大きな問題となった。


しかし今回の衝撃はもっと大きい。Moplusには”バックドア”と呼ばれる、侵入口を勝手に開いてしまう機能が備わっていたのだ。


Moplusを使ったアプリを使うと、使用している端末にバックドアが仕掛けられてしまう。さらに、仕掛けたバックドアを使って簡単に端末を遠隔操作する機能まで有している。


そのような機能を備えた開発キットを、中国を代表するネット企業と言えるバイドゥが作り大々的に配布。数多くのアプリ開発業者が利用していたからこそ”衝撃”が走ったのだ。


Moplusに深刻な脆弱性があると指摘されたのは、10月21日のこと。Moplusを使ったアプリケーションを動かすと、Android端末に”ワームホール”と呼ばれる外部コンピュータから容易に侵入できる穴(一種のバックドア)を作るというものだった。



ところが、11月6日のトレンドマイクロによる報告によると、事情がどうやら違うことがわかってきた。特定機能を実現する上での設計ミスなどに起因した脆弱性ではなく、Moplus自身の機能としてワームホールを作る機能が提供されていたようである。


つまり、意図的なものだった可能性が高まっている。


トレンドマイクロがMoplusを使ったふたつのAndroidアプリで確認したところ、いずれのアプリも起動後に自動的にWebサーバーを起動する。


このWebサーバーはネットからのアクセスを検出し、外部コンピュータから不正な処理を実行可能にしてしまうのだという。


一度、起動されるとシステムに登録されるため、次回からは端末を起動するだけでワームホールが出現し、いつでも端末に侵入可能な状態になる。

1万4112本のAndroidアプリが使用


悪意を持った者は、このワームホールを使って実に多彩な操作を行うことができる。


トレンドマイクロでは、「フィッシングサイトへの誘導」「任意の連絡先の追加」「偽のショート・メッセージ・サービス(SMS)送信」「リモートサーバへのローカルファイルのアップロード」「任意アプリのAndroid端末へのインストール」の5つの例を挙げている。


なお、トレンドマイクロによると1万4112本のアプリがMoplusを用いて開発されており、それらのアプリを実行すると、上記のワームホールが出現する可能性がある。


もうひとつこの問題を深刻なものにしているのは、出口が見えないことだ。


バイドゥは問題の指摘を受け、10月30日の段階でMoplusを更新。新しいMoplusを使って開発されたアプリは、前述のWebサーバが自動起動することはない。


しかし、「Moplusを使ったアプリが新しいMoplusを使った新版に更新され、端末上のアプリも更新される」まで、ユーザーの端末上に問題のアプリが残る。


このことと、1万4112本のアプリに疑いがかかっていることを考え合わせると、最新版Moplusを修正しただけでは充分な速度で浄化が進まない事態も想定される。


さらに旧版Moplusを用い、悪意をもって開発された「定期的に見たこともないアプリを何種類も勝手にインストールする」アプリの活動も確認されているというから、さまざまな亜種のワームが次々に降ってくる可能性もある。


中国系デベロッパーが開発するAndroidに手を出さない……と思っても、エンドユーザーが区別することは容易ではない。


まして、「Moplusのどのバージョンが・・・」と言われても大多数のユーザーは理解できない。


手元の端末を確認したいのであれば、まずはAndroid対応のウィルススキャナーで端末を調査するほかない。


グーグルが積極的にアプリストアから、問題のあるMoplusを利用したアプリを削除しなければ、完全な終息までにかなりの時間を要するだろう。

グーグルのエコシステム戦略にも影響


今回の問題は、あるいはグーグル自身の戦略にも影響するかもしれない。


グーグルはアプリ流通のエコシステムを健全化させるために、バージョンや端末スペックの細分化問題や、アプリストアの検索性や”おすすめ”機能を中心とした、必要なアプリとの出会いをきちんと作り込む開発に取り組んできた。


一方でAndroid本来が持つ自由なカルチャーが、スマートフォンを用いて自由にアイディアを実現したい開発者にとって魅力的という側面もあり、自由さとのバランスを取りながらAndroidアプリのエコシステム改善が進んできたといえる。


しかし、今回の件はAndroidアプリのエコシステムに小さくない影響を及ぼすだろう。アプリ流通への統制が強いiOSでは、同様の問題はまず起きないと考えられるからだ。


もちろん、問題の開発キットを開発したのはバイドゥだが、それを用いた1万4112本のバックドアを作るアプリを流通に載せてしまっているのは、プラットフォーマーであるグーグルなのである。


プラットフォーム・ホルダーとして、どのような対策を講じるのか。グーグルによるプラットフォーム運営の真価が問われる時が来ている。