1億人のAndroid端末が遠隔操作可能に？　「百度（Baidu）」の開発キットにバックドアが仕込まれていた

百度（Baidu）JAPANより

　11月1日、米トレンドマイクロの「TrendLabs SECURITY INTELLIGENCE Blog」に、怖い情報がアップされた。発端は、中国の検索エンジン「百度（Baidu）」のソフトウェア開発キット（SDK）に「ワームホール」という脆弱性が発見されたこと。脆弱性が見つかること自体は別によくあるが、その調査を進めたところ、SDKそのものにバックドアが仕込まれていることがわかったのだ。

　バックドアとは、第三者が自由にシステムにアクセスするための裏口のこと。製作者が開発時に仕込むことが多く、末端のユーザーには存在がわからない。今回は脆弱性の調査のため、セキュリティのプロが徹底的にチェックしたことで見つかったわけだ。

　このSDKは主にAndroid向けのアプリに仕込まれており、トレンドマイクロによると1万4,112アプリが公開されているという。そのうち、百度自身の公式アプリは4,014とのこと。影響を受けるユーザーは1億人にのぼる。中国で使える地図アプリとして人気の高い「Baidu Map」アプリにも組み込まれている。「Baidu Map」を実行すると、端末内に隠れてHTTPサーバーを設定し、外部と通信を行う。

　バックドアを利用されると、なんでもできる。「百度」のバックドアでは、ユーザーの許可なしに端末内のファイルをネットにアップロードしたり、偽のSMSを送信したり、偽の連絡先を追加したり、詐欺サイトを開いたり、Android端末に任意のアプリをインストールすることができる。

　個人攻撃される可能性は低いが、端末内のプライベートな写真や文書が全世界に拡散される可能性はある。知人に詐欺メールを勝手に送られたり、ネットバンクを偽装したサイトに誘導されるかもしれない。特定の国や企業を攻撃するときの踏み台に使われることもあるだろう。

　モバイル向けウイルスのターゲットになりやすいのは、Androidの大きな弱点の一つだ。ユーザーが一番気をつけなければいけないのは、怪しいアプリはインストールしないという点。なんらかのポイントがもらえるとか、無料アプリで便利といった謳い文句に惑わされず、信頼できるアプリのみをインストールすることが大事だ。

　百度は2013年にも似た騒ぎを起こしている。日本語入力ソフト「Baidu IME」にて、ユーザーが送信機能をオフにしていても、入力情報をまるっと外部に送信していたのだ。百度のAndroid向け日本語入力アプリ「Simeji」でも同様の動作が確認されている。大手だから、と安心せず、きちんと情報を収集して判断するようにしよう。なお、スマホ向けセキュリティアプリ「Trend Micro Mobile Security」では、これらの不正アプリをインストールする際に検出できる。1年版が3,065円とアプリとしてはなかなかの金額だが、アプリの見極めに自信がないなら、セキュリティアプリの購入を検討することをおすすめする。
（文＝柳谷智宣）