独立行政法人情報処理推進機構（IPA）は、サービス事業者の公式サイトに接続する非公認アプリにIDとパスワードを登録するリスクについて、注意を呼びかける文書を発表した。

同機構は、8月にApp Store上でゲームアプリを公開していた作者が、その所有権を不正に奪われてしまう事件が発生したことについて説明。この事件は被害者である作者がゲームアプリの売上管理のために、Apple社ではない第三者が提供する非公認アプリを利用していたため、IDとパスワード情報を悪意ある第三者に窃取されたことが原因だったという。その結果、第三者は非公認アプリを悪用して窃取したApple IDとパスワードを使ってゲーム作者になりすまし、不正にアプリの譲渡手続きをしたと考えられている。

同機構は、この事件のように、サービス事業者の公式サイトに接続する非公認アプリの場合は、そのアプリに入力したIDとパスワードの情報が窃取されてしまう可能性が否定できないため、注意が必要と説明している。とくに、Webブラウザとは異なり、アプリからのアクセスではアドレスバーの表示がなく、不正なサイトに接続された場合でも気づくことができず危険だという。

同機構は、被害に遭わないための心がけとして、サービスを利用する際にIDやパスワードが必要な場合は、基本的にはサービス事業者公認のアプリを利用することを推奨している。なお、すべての非公認アプリが問題というわけではなく、非公認ながらも悪意のない第三者が提供している場合もあるとともに、IDやパスワードの情報が不要で利用できる場合もあり、そのようなアプリは今回の呼びかけの対象外としている。

発表資料
URL：