こんにちはkimiです。
CNETによると今年の9月の時点でユーザー数がTwitterを上回ったInstagram。気軽に写真を投稿できるSNSとして日本でも人気になってきました。
投稿や閲覧には公式アプリをはじめ第三者による関連アプリが利用できますが、関連アプリにInstagramのユーザーIDとパスワードを盗み不正に外部に送信していたものがあったと発覚!
すでに該当アプリはApp Storeから削除されましたが、類似アプリには気をつけた方がよさそうですよ…。
アプリは50万ダウンロードされたらしい
今回問題となったのは、『Who Viewed Your Profile – InstaAgent』というInstagramの関連アプリ。
このアプリは、「誰が自分のプロフィールページにアクセスしたか」を知らせてくれる無料アプリ。『Instagram』の公式アプリにはない機能を提供するもので、イギリスやカナダではアプリランキングの1位を取ったこともある人気アプリでした。
最初にこのアプリがマルウェアであると気づいたのは、開発者のDavid L-Rさん。彼はこのアプリが『Instagram』のユーザーIDとパスワードを暗号化せずに開発者のサーバに送信していることに気づきました。
同氏は「『InstaAgent』はAppStoreから50万ダウンロードされた初のマルウェアだ」と述べています。
I would say “Who Viewed Your Profile – InstaAgent” is the first malware in the iOS Appstore that is downloaded half a million times.
— David L-R (@PeppersoftDev) 2015, 11月 10
そうなると気になるのは「ユーザーIDとパスワードが流出することでどんな事が起きているか?」ということ。同氏の調査によれば、このInstaAgentはユーザーの許可なしにアプリを紹介する広告画像を勝手にアップしてしまうことがあるそうです。
Surprise, surprise , #InstaAgent is also posting images without you permission in your #Instagram profile. pic.twitter.com/Syvsv71wcn
— David L-R (@PeppersoftDev) 2015, 11月 10
現在、該当アプリはすでにAppStoreから削除されている模様。日本でこのアプリが配布されていたかどうかは確認できませんでしたが、一度でも使ったことのある人は必ずInstagramのパスワードを変更しておきましょう。
また、Instagramによると、InstaAgentが人気であった為似たような名前のアプリが未だにAppStoreには数種類あるとのこと。同社はこれらをダウンロードして使用しないように警告しています。
人気のアプリがまさかマルウェアだったという恐ろしい事件。いつどこのサービスで似たような被害が発生するかわかりません。被害を最小限に抑えるために、サービスごとにパスワードは使い分けましょうね。
