Android 電話帳アプリで個人情報垂れ流し発覚 111
ストーリー by reo
てへぺろ 部門より
てへぺろ 部門より
masakun 曰く、
ユーザーがインストールした Android の電話帳アプリ経由で、76 万件の個人情報が外部に送信されたことがニュースになっています (時事ドットコムの記事、Sankei Biz の記事より) 。
問題のアプリは「全国電話帳」。Google Play の説明によりますと「過去のハローページとタウンページに掲載された約 3800 万件の情報をもとにデータベースを作成しています。加えて、アプリ利用者のアドレス帳、GPS の情報も利用し…ていましたが、DB に mysql で直接アクセスして SQL 叩いてデータを取られる問題がありまして、利用できなくしました。」とのこと。
Togetter のまとめによりますと、実行された 3387 台 (10/6 10:38 現在) のスマホから、アプリの利用者だけでなく、利用者の友人や取引先の電話番号を含めた 76 万件が流出した模様。
この仕様について、作者の tottoriloop 氏曰く、「以前、ダダ漏れアプリが問題になっていましたが、報道通り、そんなにデータが集まるものなのかと思いまして」と、実験だったと釈明。
目的 (スコア:3)
政治的主張が目的 [twitter.com]らしい。
Re:目的 (スコア:2)
これですかね。
住所でポン!と衆愚政治 [tottoriloop.miya.be]
でも、Android アプリ経由で大量の個人情報をぶっこ抜くのとは論点が異なるので、あえてタレコミでは触れませんでした。
モデレータは基本役立たずなの気にしてないよ
Re: (スコア:0)
Re:目的 (スコア:2)
| 自分の氏名・住所・電話番号を公開していない不思議
住所でポンや全国電話帳の作者であるという情報を始めとした、
Blog 上での発言内容すべてを紐付けて 氏名・住所・電話番号を掲示することと、
何も付帯情報の無い、氏名・住所・電話番号 では違うということが分からないのでしょうか。
Re:目的 (スコア:1)
公開してるよ [tottoriloop.miya.be]、本物かは知らんけど。
050なあたり、さすがに電話番号は慎重な感じを受けますね。
ネットに個人情報を載せるかどうか、個人情報なのだから、その個人が判断して好きにできればそれでいいと思うんだけどねぇ。
何事にも危険はあり、危険なのは事実。その危険がどれだけか、その個人にとっての評価はどんなものかをザッと無視して強要しちゃう理由って何だろう。
確信犯故に、他者に「強要する」という意識がないのだろうか。
Re:目的 (スコア:1)
> 他者に「強要する」という意識がないのだろうか。
自己の主張を他者に強要するための一種のテロ行為ですから
一番効果的に強要できる手段として意図した結果です。
ただし、強要したい相手とは、極端に言うと全人類であり
今、実際にこの被害を受けている各個人に対しては
「見ろ人がゴミのようだ」という感覚でしょうね。
Re:目的 (スコア:1)
そうか、なるほど。
まず認識、理解してもらうためじゃないんだもんね...
ついつい己に置き換えて、ゆるいステップを考えてしまった。
Re: (スコア:0)
Re: (スコア:0)
誰かが言ってましたが、個人と個人情報(住所氏名電話)が結び付くのが危険なんだそうです。
本件の場合、「この様な政治的主張を行っている個人」と、その「個人情報」がむすびついちゃう事で、なんらかの被害に遭う可能性が飛躍的に高くなる…と。
Re: (スコア:0)
深い思慮の結果、そんなもん公開したら、自分が不利益を被ると判断したからだろ。
電話帳の中の一電話番号と、特定の誰かの電話番号とでは全然意味が違う。
なんとなく書いたほうがいいかなと思ったので (スコア:3, 興味深い)
以前どこかのストーリーでも書きましたが、Android端末のRoot権限を取得していて、尚且つパーミッションに関する知識があるならばPermissions Denied(無料版はPermissions Free)を使うのが一番いいのではないでしょうか。いくつかのウェブサイトではRoot権限を取得すると危ないよみたいな事を言っていましたが、理解あるユーザーがセキュリティをがっちがちに固めてしまえば、非Root状態よりもひょっとしたらよりセキュアな端末にできるんじゃないかなあと思ったり(もっとも、自分がその「理解あるユーザー」の一人であるという確証は全くないのですが)。
# そういえば過去にLBE privacy guardを推奨してくれた方がいましたが、結局上のアプリになってしまいました。LBEの権限をいつのまにかいじっている自分に気づいてしまったので……
自由の行使には責任を伴わなければならない
複雑になりすぎて (スコア:2)
いったい何と連携されるかわかったもんじゃないので、連携とか連帯とかいった機能は基本的にOFFにするようにしてる。
まぁそれでもぶっこ抜くようなアプリがあったら防ぎようがないけど・・・
Re: (スコア:0)
アドレス帳へのアクセスを要求するようなアプリをインストールしなければいいだけ。説明に「加えて、アプリ利用者のアドレス帳、GPS の情報も利用し…」とまで書かれてるのにホイホイインストールする馬鹿には防ぎようがないだろうな。
それよりそういう馬鹿が家族や交友関係に一人でもいたら自分がどんなに気をつけていても流出を防ぎようがないのが問題。
Re:複雑になりすぎて (スコア:1)
説明や注意書きに書いてあるのを読まないで、無料だからとかでホイホイインストールするのは確かに馬鹿だと思う。
だが、「電話帳」を銘打つアプリで、デバイス内の「アドレス帳を利用する」とかアクセスすると言われて、そのアドレス帳の中身をごっそりサーバーに送るということを想定できるユーザーはそうそういないだろうさ。
一般ユーザーが「アドレス帳へアクセスする」と言われて考えるのは、「ユーザーの利便性のためにアプリがローカルでアクセスする」といった状況であって、「アプリ提供者が自身の利益のためにサーバーに吸い上げるためにアクセスする」ことだなんて考えないだろう。
そういう危険性を考えない方がいけないという考え方もあるだろうが、それ以前に、アプリの提供側も、ユーザーに属する情報を許可無く収集して利用する事が、やっていいことなのかを考えないとダメだ。
Re: (スコア:0)
「ネットワークアクセス」と「アドレスブック」「カレンダー」などの個人情報系
の両方に要求するアプリは可能な限り入れたくないですねぇ
Re:複雑になりすぎて (スコア:3, すばらしい洞察)
Androidなら、使う権限が追加される場合は、自動アップデートはされず、手動での確認が必要になりますよ。
Re: (スコア:0)
未だにHybridW-ZERO3の私大勝利。
いや、セキュリティ上、別の問題はありそうなのは目をつぶって・・・。
関連リンク (スコア:2)
に無いので貼っておきますね
大量の電話番号・氏名・住所情報を無料公開しているサイト「住所でポン!」 [srad.jp]
Re:関連リンク (スコア:1)
これも関連するかも。
総務省、スマートフォンのプライバシ基準を公開 [srad.jp]
モデレータは基本役立たずなの気にしてないよ
iOS版の話の流れに注目 (スコア:1)
同じところが作ったやってることが似たアプリがiOSにもあるため、
iOS版がどういう扱いになるかすごく注目してます。
また、以前のiOSそのものでの個人情報の勝手な収集、
iTunesへの勝手な保存(しかも暗号化すらせず)、
あまつさえAppleのサーバーに情報送信していても
「単なるバグだ、直したから問題ない」
ですませているAppleにおいては
今回の件が問題になるならAppleも同罪になりますので
気が気じゃないでしょうね。
LINE との違い (スコア:0)
LINE がやってることとどうちがうのか知りたいんだけど?
Re: (スコア:0)
LINE はまだ流出させてない
Re: (スコア:0)
LINEは番号をhashで送ってるんじゃなかったっけ?
Re:LINE との違い (スコア:2, 参考になる)
補足すると、
電話番号なんて、数字11文字でしかないわけで、00000000000から99999999999までをハッシュ化して比較すれば、
すべてのハッシュ値の元の電話番号が割れる。
Re: (スコア:0)
LINEは大企業がビジネスでやってる
リア充め (スコア:0)
3387台のスマホから76万件流出ってことは、一台あたり224件の電話番号とかが入ってたと。
Re:リア充め (スコア:1)
リア充には違いないんだけど。
源氏名が並んでる携帯っつーのもあるからなぁ。
その逆もあるわけだが。
Re:リア充め (スコア:1)
名寄せで源氏名-本名対応表ができるってことか
Re:リア充め (スコア:1)
その手のデリヘルってサクサク携帯番号とか教えるもんなの?
(って素人主婦デリヘルある前提かよ)
なんか脇が甘いな (スコア:0)
https://twitter.com/tottoriloop/status/254485901391056896 [twitter.com]
> まあ、全国電話帳に関してはもう当分はデータの取得はできないと思う。MySQLに直接接続してSQLでデータ取得するというような事は想定していなかったし、これは私のミス。
ネットワーク接続や、データベースの基本を知らずにやっちゃうあたり、無免許で公道疾走に似てる気がする。
パーミッション方式の失敗 (スコア:0)
世の中Googleが考えるより、不注意な人が多かったということなんだろう。
インターネットや電話帳にアクセスするアプリなんかは事前審査制にするとか対策をすべき。
Re:パーミッション方式の失敗 (スコア:2)
インターネットや電話帳にアクセスするアプリなんかは事前審査制にするとか対策をすべき。
後者はともかく、前者はほとんど全部だろ。むり。
#またしてもゴミ役人が天下れますね、ケケケ(死ね)
Re:パーミッション方式の失敗 (スコア:2)
確かに現状の方式だと無理でしょうね.
例としてfacebook公式アプリですら,
本来不要なはずの連絡先へのアクセスを求めています.
インストール時に求めるだけじゃなくて,
各アプリの各パーミッションを,
動的にon/offできるようにすべき?
Re:パーミッション方式の失敗 (スコア:2)
少なくとも俺得ではある
でも真面目な話,こういうのって製造者に責任があると考えてます?
私はそんなの最初からないと思っていますが…
Re: (スコア:0)
事前審査とか言い出したら個人情報保護以外にも
もっと他に審査でふるい落とさないといけないアプリがandroidには多すぎると思いますけどね・・・
著作権侵害系とか
Re: (スコア:0)
著作権系は審査しても無意味ってAppleさんが教えてくれたじゃん。
いやGoogleがやるともうちょっとまともにやれるって主張ならそうなのかも知れないけど
Re: (スコア:0)
Youtubeを持ってるGoogleがやるともうちょっとまともになると信じられる根拠が何一つない
Re: (スコア:0)
Youtubeって審査してたんだ。それは初耳ですね
Re: (スコア:0)
Googleが事前審査してる事例がないなら、どうしてGoogleがやればもうちょっとまともになると信じられるのかますます理解不能。
犯罪じゃないの? (スコア:0)
何故逮捕されないのかわからない。76万件とか集めてたら個人情報取扱事業者とみなされるわけだし自ら報告しなかったのは刑事罰に問われてもおかしくない。それ以前に明らかに説明不足だし実験だったとか言い逃れしようとしてるだけでしょ。厳しく取り締まってほしい。
Re:犯罪じゃないの? (スコア:1, 参考になる)
ほとんどがハローページの転載だから、それらの公開については何の問題もない。
すでに法廷で判例もでている。煽ってる方がおかしい。残念かもしれないけどね。
Re: (スコア:0)
犯罪の定義は「ぼくがきにいらないもの」ではありません。
Re:犯罪じゃないの? (スコア:1)
このアプリがどういう機能があると謳っていたのか知らないが、事前の説明も無しにユーザの意図しない動作をするように故意に作ったものであれば、ウィルス作成罪で立件できると思う。
ただし、アプリ配布時に「このアプリは住所録にアクセスして外部に送信して全世界に公開します」と説明してあったなら問題ないと思う。
中国人が日本中のIPアドレスのSQLで使われてるポートをスキャンしまくっている昨今、開放して誰でもアクセスできるようにしてたなんて、わざとだろ?
Re:犯罪じゃないの? (スコア:1)
「事前の説明も無しに」ってのは間違いでは?
「事前の説明を、他の商習慣の悪いところにあわせて分かりにくくして」ってネタだったと思う。
Re: (スコア:0)
ただし「警察が気に入らないもの」はありとあらゆる理屈をこね回して犯罪にされます。同一性保持権、器物損壊、公務執行妨害あたりは特に便利なようです。
Re: (スコア:0)
あと偽計業務妨害
Re:犯罪じゃないの? (スコア:1)
軽犯罪法最強。
#出自が出自だしな。
Re:犯罪じゃないの? (スコア:1)
IPアドレスだけで逮捕される世界のほうが怖いです。
何で「ぼくのかんがえたわるいひと」だけを都合よく逮捕してくれると思うんだろう。
Re: (スコア:0)
電話番号は個人情報に含まれないので保護する法律は存在しません。
Re:犯罪じゃないの? (スコア:1)
特別法律には詳しくありませんが、この件、個人件数に含まないと言う事はまずあり得ません。
経産省のガイドライン [meti.go.jp]によると
個人情報データベース等が、以下の要件のすべてに該当する場合は、その個人情報データベース等を構成する個人情報によって識別される特定の個人の数は、上記の「特定の個人の数」には算入しない。
ということで以下の3要件があげられています。
(1)個人情報データベース等の全部又は一部が他人の作成によるものであること。
これはよさそうに見えますが九割九分アウトです。法律には以下のようにデータベースを定義しています。
2 この法律において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるものをいう。
一 特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
二 前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの
作成者はデータをMySQLに入れていたらしいですが、データをコンピュータに保存する作業は自分で行っており本来は体系化されていないデータを、ソフトに喰わせる事で一定の規則で引き出せるようにしています。この時点でデータベースが作成されたとみなされるので、データベースの作者は鳥取ループ氏であり、誰かのものを持ってきたとは言えないと思います。
(例えば個人情報保護法では、整理される前のアンケートはがきは個人情報データベースではないので整理せずに持っている場合は人数にカウントされません。しかしこれを50音順に並べたりするとデータベースとみなされたりします。ここから整理された時点でデータベースが作成されたと言う事になります)
(2)氏名、住所・居所、電話番号のみが掲載された個人情報データベース等(例えば、電話帳やカーナビゲーション)であること、又は、不特定かつ多数の者に販売することを目的として発行され、かつ、不特定かつ多数の者により随時に購入することができる又はできた個人情報データベース等(例えば、自治体職員録、弁護士会名簿等)であること。
個人のアドレス帳の内容は不特定かつ多数の者により随時購入する事ができるものではありません。
不特定多数が入手できなければならないので、個別に同意を取っていると主張してもそれで免責になることもありません。
(3)事業者自らが、その個人情報データベース等を事業の用に供するに当たり、新たに個人情報を加えることで特定の個人を増やしたり、他の個人情報を付加したりして、個人情報データベース等そのものを編集・加工していないこと。
一つのデータベースに入れて増やしたりしています。加工編集していますね。
ということでその主張が通る余地はないでしょう。
そんな主張をしようものなら普通は弁護士に心証悪くするだけだからやめておけと止められるレベルだと思います。