Googleは侵入型(intrusive)と見なされるAndroidアプリの自動解析と検出にクラスタリングアルゴリズムを使用している、と同社のセキュリティエンジニアであるMartin Pelikan、Giles Hogben、Ulfar Erlingsson各氏が書いている。
侵入型アプリとは、ユーザに対して、適切な機能を果たすために本来必要な能力を越えた権限を要求するアプリである。例えば塗り絵アプリが位置情報データにアクセスする必要はないはずだ、とGoogleの技術者たちは説明している。アプリの処理において必ずしも必要ではない機能の例としては、その他に、個人データやカメラ、アドレス帳へのアクセスがある。必要以上の権限の付与は、それらのデータの本当の用途が分からないため、潜在的に有害なものだ。アプリの有害な動作として最も多いケースの中には、バックドア、スパイウェア、データ収集、サービス拒否などさまざまなものがある。
侵入型アプリの検出にGoogleが採用したアプローチは、機能的ピアグループに基づくものだ。これはつまり、同じような機能を持つアプリのグループであれば、同等の権限セットを必要とするはずだ、という考え方である。このようなグループが形成されれば、グループ内で異常なアプリ、すなわち、同類のアプリよりも多くの権限を要求するアプリの検出が可能になる。このアプローチでは、Android Play Storeを監視し、詳細な統計情報を収集して、ユーザの期待を発見することで、アプリのグループを自動的に判断する必要がある。事実、Googleのエンジニアによれば、固定的な分類と手作業によるキュレーションは煩雑で、間違いも起こりやすい作業なのだ。
このアプローチをより効果的にするため、Googleは、ディープラーニングを使用して、テキストによる説明やインストールパラメータなどのメタデータを解釈することによって、同じような特性を持ったアプリグループの検出を行なっている。ピアグループが定義されれば、各グループ内で異常検出を使用することで、異常なアプリ、すなわち要求する権限と機能に不一致が見られるアプリが識別される。識別された異常アプリは詳細に検査され、侵入型アプリであるかどうか判定される。この情報は、プロモーション対象とするアプリの決定に使用される他、侵入型の可能性のあるアプリの開発者と連絡を取ることで、アプリのプライバシとセキュリティの向上にも役立つ。
この記事を評価
- 編集者評
- 編集長アクション