IPA(情報処理推進機構)が、サービス事業者非公認のスマートフォンアプリについて、注意を促している。サービス事業者の公式サイトに接続する非公認アプリでは、そのアプリに入力した ID とパスワード情報が窃取されてしまう可能性があるためだ。

2014年1月頃に、App Store や Google Play などの公式マーケットで、サービス事業者非公認のスマートフォンアプリが公開された。これらの非公認アプリには、サービス事業者の公式サイトに接続する仕組みがあり、非公認とは気付かずにダウンロードしてしまったユーザーもいた。IPA はこの非公認アプリについて懸念を抱いていたが、具体的な被害は確認されていなかった。


ところが、8月になって、App Store でゲームアプリを公開していたアプリ作者が、その所有権を不正に奪われるという事件が発生した。作者が非公認アプリを使用していたため、ID とパスワード情報が悪意ある第三者に窃取されたためだ、と言われている。

非公認のスマートフォンアプリに注意!アカウント情報が盗まれる恐れ、と IPA
ゲームアプリの権利が奪われる事件の概要

図で分かるように、被害者のゲーム作者は Apple社 の開発者支援公認アプリ「iTunes Connect」に加えて、ゲームアプリの売上管理のために、Apple ではない第三者の非公認売上管理アプリを利用していた。

いずれのアプリも Apple のサイトに接続するためには、Apple ID とパスワード情報が必要だが、非公認アプリに登録した Apple ID とパスワードを、第三者に窃取されてしまった、と考えられる。

その結果、第三者は非公認アプリで窃取した Apple ID とパスワード情報でゲーム作者になりすまし、ゲームアプリの所有権を不正に奪った(不正にアプリの譲渡手続きをした)と考えられている。