スマートフォン向けフィルタリングサービス ―― 特に子供のスマホを保護者がコントロールするためのアプリは、本来「情報を漏らさない」ことが価値の根幹である。にもかかわらず、その役割を担う KDDI 提供「あんしんフィルター for au」(Android 版) に重要情報を平文 (暗号化なし) で送信する脆弱性 が JPCERT/CC・IPA から公表された (JVN#24167657)。子供を守るために入れるアプリが、別の経路で情報を漏らしていた という構造的な皮肉である。
「平文送信」とは何か ― 同一 Wi-Fi 上で誰でも読める #
「重要情報の平文送信」とは、認証情報・端末識別子・利用ログといったセンシティブなデータを HTTPS で暗号化せず、HTTP のまま通信路に流す ことを意味する。攻撃者は標的を直接「ハック」する必要すらない:
- 同じ Wi-Fi (カフェ、学校の無線、ホテルロビー) に接続するだけで
tcpdump/ Wireshark で受信できる - 公開 Wi-Fi に悪意ある AP を立てれば中間者として丸ごと収集できる
- 経由する ISP やプロキシのログにも残りやすい
つまり「高度な攻撃スキル」を持たない者でも、データを取得しうる。HTTPS が標準化された 2020 年代後半において、この種の通信が残っていること自体が異常である。
子供のデータが対象であるという特殊性 #
このアプリの利用者には未成年が含まれる。フィルタリングという機能の性質上、流出しうる情報は子供本人に強く紐付く:
- アプリの利用履歴・閲覧履歴 (フィルター判定のため当然取得している)
- 端末 ID / モデル情報
- ログイン状態・認証トークン
- 場合によっては位置情報
「保護のために提供している情報が、保護のためのアプリ経由で漏れる」 という二重の信頼破壊が起きる。これは CVE 1 件分の技術的瑕疵というより、保護者と子供の関係性に直接刺さる事案 だ。
保護者・自宅ラボ運用者向けの対応 #
- Google Play からの 最新版へのアップデート を確認 (KDDI が修正版を順次提供する見込み)
- 子供のスマホで使う Wi-Fi 環境 を見直す (公開 Wi-Fi 常用なら自宅・モバイル回線優先に)
- 「フィルタリング系アプリだから安全」という思い込みを外す。監視機能 = 大量データ収集、もし送信経路が脆弱なら被害規模も比例して大きい
- 自宅ラボでパケットキャプチャを学んでいる人は、この機会に 手元の Android アプリの通信を mitmproxy / Wireshark で観察 してみると面白い。HTTPS が普及した現代でも、暗号化されていない通信が意外と残っていることに気付くはずだ
「信頼されているアプリほど、その裏側を観察する価値がある」── 今回の事例は、Hacking Labo が掲げる 「実験的に確かめる」 という姿勢の意義をあらためて思い出させる。
