「自分撮り一枚撮っただけなのに…」
偽美容アプリで顔画像・個人情報が流出した物語
「肌分析しようと一枚の写真を撮っただけです。それ以来、奇妙な文字が来始めました。」
あるビューティーアプリのユーザーから始まった物語です。
最近の美容アプリでは、肌のトーン分析、毛穴診断、メイクアップのおすすめなど、カメラを活用した機能がとても自然になりました。
だから、このユーザーは間違いなくアプリをインストールし、迷わず自分撮りを撮影しました。
アプリ画面はおなじみで、機能も正常に動作しました。
問題はただ一つでした。
このアプリは「本物」ではありませんでした。
「通常アプリのように見えるのに、何が問題だったのか?」
調査の結果、このアプリは公式アプリストアで配布されたアプリではなく、通常のビューティーアプリをそのままリパッケージした偽アプリでした。
アイコンも同じで、UIも同じで、肌分析のフローチャートと同じでした。
しかし内部では全く違うことが起きていました。
実際に発生した問題
偽の美容アプリは次のように動作しました。
•通常の美容アプリを再パッケージ化して流布
• 顔撮影画面とプロフィール入力画面をそのまま複製
•ユーザーが撮影した顔画像と個人情報を→正常機能処理と同時に外部サーバーに送信
ユーザーの立場では「カメラ権限を許可しただけ」でしたが、実際には顔画像と個人情報が一緒に流出していました。
特に顔データは
•単純な写真ではなく
•生体情報として活用できる高リスク個人情報
という点でダメージは大きかったです。
どこでセキュリティが崩れたのか?
問題の核心は明確だった。
•アプリが公式配信アプリであることが確認されていません。
•顔撮影画面が本物の画面であることを確認する方法はありませんでした
つまり、「アプリを信じた瞬間、すべての権限を引き継いだこと」が最大のセキュリティ脆弱性でした。
ユーザーは気をつけましたが、技術的に区別できる装置がなかったのです。
どのように守ったのですか?
LIAPP – 偽造アプリ(リパッケージングアプリ)の検出
この問題を解決するために最初に適用されたのはLIAPPでした。
LIAPPはアプリの実行時に
• アプリ署名
•コード構造
• リソースの整合性
を調べて、公式配信アプリと他のアプリを識別します。
これを通して
•再パッケージ化された偽のアプリの実行をブロックする
• フェイクフェイス撮影UIを無効にする
• 偽造アプリ環境でのアクセス自己ブロック
が可能になりました。
ユーザーは偽のアプリで自分撮りを撮ることができなくなりました。
LIKEY – 個人情報の入力保護
顔画像だけでなく、名前、連絡先、プロフィール情報も保護対象でした。
LIKEYは
•プロファイル情報の入力セクションにセキュリティキーパッドを提供する
•キーロガーベースの入力消臭を無効にしました。
通常のアプリ環境でも入力情報が外部に漏れないように保護したのです。
その後、何が変わったのか?
セキュリティ対策後の変更は明らかでした。
• 偽の美容アプリへのアクセス試行をすぐにブロック
• 顔画像・個人情報流出事故中断
• ユーザーの不安を解消
• ブランド信頼度の回復
何よりも重要な変化はこれでした。
「ユーザーが気をつけなければならない」というアプローチから「アプリがユーザーを守らなければならない」という認識への切り替え
このケースが与える教訓
美容アプリでは、顔データは単純な機能要素ではありません。
顔データは「写真」ではなく「個人情報」です。
それで、次のことが重要です。
•アプリが本物であることを最初に確認する
•撮影画面が偽造されていないことを確認する
•入力情報は最後まで保護すること
どんなに良い機能でも信頼がなければ使用できません。
ビューティーアプリセキュリティの出発点は、機能より「真偽確認」です。
#美容アプリセキュリティ#偽アプリ注意#偽造アプリ#個人情報漏洩#顔情報保護#プライバシーセキュリティ#モバイルセキュリティ#アプリ偽造#リパッケージアプリ#セルカセキュリティ#カメラ特権#モバイルアプリセキュリティ#セキュリティケース#ITセキュリティストーリー#セキュリティトレンド#LIAPP#LISS#LISS
