あけましておめでとうございます。
本来このエントリは昨年暮れに公開する予定でしたが、なかなか時間がとれず年明け1つめのエントリとなってしまいました。
相変わらずこんな調子ですが、今年もマイペースでこのBlogを続けていきたいと思います。よろしくお願いいたします。
さて、「TheMovie」というキーワードで昨年のAndroid界隈を騒然とさせたMalware、「DougaLeaker」に関する事件で逮捕され後に処分保留として釈放された5人が12/26付けで嫌疑不十分の為不起訴処分となりました。
処分保留の時点である程度想像は出来たものの、この結果には大いに落胆すると共に日本のAndroid環境の将来に対し大きな懸念を持たざるを得なくなりました。
Malwareを開発し配布した人物が特定されても、このような形で不起訴になってしまうのであれば日本国内において情報収集型のマルウェアを取り締まるのは相当困難に思えます。
今回の不起訴の理由は明らかになっていませんが新聞メディアの情報では、
- 画面上に「連絡先データの読み取り」と表示されることから情報流出が利用者の意思に反したものであると断定するのは難しい
- 5人が個人情報を不正に取得する認識があったことを示す証拠がない
1つ目の理由については過去のTweet※1でも述べましたがパーミッションの許可だけで利用者が連絡先データの「流出」まで判断することは困難であり、かつ「連絡先データの読み取り」が連絡先データの「流出」を指すと解釈すれば、このパーミッションを利用する多くの妥当なアプリが不当な判断をされることからこれを嫌疑不十分の根拠とするのはいささか疑問があります。
当然このような理由だけで嫌疑が晴らせるわけも無く地検には別の壁があったと推測できます。
それがおそらく2番目の「不正に取得する認識があったことを示す証拠がない」というところなのかと思います。
アドレス帳の情報を送信する機能を付加しながらその説明なしに「動画アプリ」として複数のアプリを配信していた事実は明らかですが、地検はこれを不正な取得とするには不十分と判断したということになります。
では、地検が十分と判断するにはどのような証拠が必要だったのでしょうか。たとえば、その収集したデータを「利用」した痕跡が必要だったのでしょうか。たとえば、Spamメールの宛先に利用していた場合等です。
しかし、いわゆるウィルス罪はプログラムに対する社会一般の者の信頼を保護法益とする罪です。収集した情報がどのように使われたか、その痕跡を明らかにしないと証拠不十分というのであればこの法は十分に効力を発揮することはないように思えます。
(もっとも、収集した情報がどのように使われたか明らかにする以前に、そのアプリがアドレス情報を収集する正当な理由が無いこと自体を問うべきだと思いますが。)
さて、結果としてこの事件が不起訴になったことで今後の日本におけるAndroid環境は大きな懸念を抱えることになると見ています。
今回の事例から同様の手口でアドレス情報を収集する事象がが継続的に発生するであろう事は容易に推測できます。
実際、TheMovieの事件後もAndroid.Enesolutyはドメインを頻繁に変えながら継続的にSpamを配信し続けMalwareを拡散しアドレス情報を収集しています。
残念ながら警察機関の抑止力が効かない、マーケットサイトのフィルタがあてにならないこの現状、有効な対策は正直思いつきません。個人の対策以外に何が出来るのか、考え直さないといけない状況にあるようです。
※1過去のTweetについては1、2、3、4を参照。
0 件のコメント:
コメントを投稿