【メルマガ】大警告！！スマホブラウザ「Smooz」凶悪な危険性(2020年12月22日)│Gloria, Limited

超危険な情報が飛び込んできましたので、注意喚起です。

なお、私自身が事実を調査したわけではございません。
また、「Smooz」アプリの利用妨害をするものではありません。
情報の真偽、最終的な判断はご自身でお願いいたします。

スマホの国産ブラウザ「Smooz」を使用していると、「Smooz」ブラウザを使って送信した内容、表示した内容が外部サーバーに送られている可能性が高いと言う事象です。
※「Smooz」をご利用されてなければ、全く関係ありません。

何が危険なのか？

冒頭でも記述した通り、「Smooz」を使用していると、「Smooz」ブラウザを使って送信した内容、表示した内容が外部サーバーに送られている可能性が高いと言う事象です。
※「Smooz」の設定に依存する可能性や、閲覧したWebサーバーの作りによって影響度合いが異なる可能性はございます。

例えば、オンラインバンキングにログインしたとします。

入力したID、そしてログイン後に表示した画面の中身。(金額とか取引履歴とか、ですね。)
これらが外部に流出している可能性があります。

※パスワードまで流出しているかは不明。

「Smooz」をご利用で心当たりがある方

正直、流出したデータをどうこうすることは不可能です。

機密情報を扱うようなページは、他のブラウザを使うことをお勧めします。
また、もしログイン等の送信をしているのであれば、他のブラウザでパスワード変更をすることをお勧めします。

どういう仕組み？

一体どのような仕組みで流出しているのでしょうか。

https通信を使っていれば、端末とサーバーの間は暗号化通信していると安心されているかもしれません。

しかし通信を暗号化しているからとは言え、端末で見るときは当然復号した形になります。

ブラウザはその復号した情報で画面に表示しているわけですが、その情報をブラウザが特定の外部サーバーに通信してしまえば、情報を取得するときの通信が暗号化されていようが何も関係がないわけです。

技術的な観点になりますが、実際にどのような情報が送信されているかを検証された記事がございますのでご参考ください。

reliphone (for iPhone)

続・続・国産ブラウザアプリSmoozはあなたの閲覧情報をすべて外部送信している

この記事は過去2回にわたる検証記事の続きとなります。国産ブラウザアプリSmoozはあなたの閲覧情報をすべて外部送信して…

なお執筆時点、「Smooz」はアプリストアから姿を消しております。

どのように身を守るか？

正直、難しいです。

今回は、ある意味暗号化もせず外部サーバーに送信していたと言うことで、何を送信していたかが検証されるとばれてしまいます。

しかし他のメジャーなブラウザは本当に安全なのでしょうか？
謎の特定サーバーへのアクセス、不必要な量の伝送、など気がつくきっかけはあるかもしれません。
しかしそれも何かに紛れ込ませれば検知は難しくなります。

セキュリティーソフトにおいても同様のことがいえます。
セキュリティーのために、と言う名目で、ブラウザの様々な情報が吸い上げられている可能性があります。

さらには、OSレベルで何かされているとさらに難しいお話となります。

とは言え、使わないと業務にならないということがほとんどです。

できる事は、余計なアプリは使わない。
セキュリティー情報のアンテナを高くしておく。
機密情報を扱う時は、できるだけ「セキュア」と思うアプリを使う。

つまるところ、どの組織を信頼しますか、という問題になりますね。(Apple、Google、・・・)

※蛇足
こんなアプリでもアプリ審査通るのですよね・・・
セキュリティーを最重視、と言っているプラットフォームであっても。

メルマガ登録

"意見が持てる" デジタルコラム
『メルマガ Professional's eye』

週1回、3分で楽しめます。

詳細はこちら >>>
送信時点で「Privacy Policy」に同意したものとみなします。
広告を含むご案内のメールをお送りする場合があります。

One more thing

仕組み上、「外部に接続していないとはっきりと分かる」といったツールを使うのも、一つの対策です。

弊社でご提供している下記の「効率化ツール」の仕組みは、安心な仕組みとなっております。

実行コードそのものが参照できるため、何を処理しているのか確認ができる(専門知識は必要ですが)
あくまで「手の操作」を代替しているのみであるため、端末と接続先サイト(以下のツールだとAmazon)で処理をしている(その他外部への通信は発生しない)

原因は何であれ、情報流出は事業にとって大きな痛手となります。
できる対策はしていきましょう。

【効率化ツール】【ブラウザ自動操作】Amazonの領収書をPDFで一気に保存！確定申告のお供にどうぞ。

領収書をPDFで保存確定申告や決算に向けて、領収書/請求書の確保が必要になりますよね。 Amazonで書籍や備品などを購入されている方も多いと思います。しかし、いつからか、Amazonの領収書はWebからの取得のみとなって[…]

バックナンバーを見る

記事を書いた人

石黒直樹

株式会社グロリア代表取締役

未来創造請負人
IT顧問・情シス支援
フルスタックエンジニア

前職株式会社野村総合研究所 15年勤務のうえ退職。
現職株式会社グロリア代表取締役。

前職在職時は、高い品質が必要とされる金融系システムを担当。
大規模プロジェクト、開発、保守、運用など、情報システムに関するさまざまな経験を有する。

マネジメントや要件定義・システム設計のみならず、自身でもプログラミング可能なスキルを有する。
Python、Ruby、PHP、Swift、Kotlin、WordPress、RPA、Excelマクロ、写真・動画編集、AWS、GCP、インフラ構築など、必要で面白いと思ったものは何でもこなす。

現在、大企業・中小企業・個人事業主と規模を問わず、自身のノウハウ全てを使ってIT面を支えている。

モットーは「神は細部に宿る」。

■主たる保有資格など
・情報処理安全確保支援士(#019126)
・情報処理技術者試験(ITストラテジスト試験、プロジェクトマネージャ試験、テクニカルエンジニア(データベース)試験など他多数合格)
・ディープラーニングＧ検定 2018#2
・一般社団法人ＩＴ顧問化協会ｅＣＩＯメンバー

■活動実績など
・大企業様向け情報システム部門・業務部門支援
・中小企業様向けスクラッチシステム要件定義〜設計〜開発〜運用
・中小企業様向けデジタル環境整備・運用
・事業用Webサイト構築・運用、デジタルマーケティング支援
・ECサイト構築・運用
・IoTソリューションサービス企画・開発・実証実験
・大手企業様 PoC用アプリ開発
・ITツール製造・販売
・中小企業庁「中小企業デジタル化応援隊事業」IT専門家(2020、21年活動実績あり)
・執筆活動(書籍、雑誌、メルマガ、ブログ等)

■著書・寄稿など
・著書『情シスの定石〜失敗事例から学ぶシステム企画・開発・保守・運用のポイント』(技術評論社)
・著書『図解即戦力システム設計のセオリーと実践方法がこれ１冊でしっかりわかる教科書』(技術評論社)
・著者石黒による『情シスの定石』説明動画チラヨミ(bizplay様)
・寄稿『週刊東洋経済(2023/3/4特大号)』特集「文系管理職のための失敗しないＤＸ」の一部について執筆を担当
・インタビュー IT部門が“組織の将来を見据えた仕事”に取り組むためには？業務の負荷軽減、そのヒントを『情シスの定石』著者に聞く(アイティメディア株式会社様)
・寄稿 ITmedia PC USER『「目指せ↑ワンランク上の仕事術」デジモノ探訪記』

【メルマガ】大警告！！スマホブラウザ「Smooz」凶悪な危険性(2020年12月22日)

何が危険なのか？

「Smooz」をご利用で心当たりがある方

どういう仕組み？

どのように身を守るか？

メルマガ登録

One more thing

01-81.メルマガ(バックナンバー)

【メルマガ】いつBANされるか。あらたなTwitter World(2022年12月20日)

【メルマガ】えきねっとが不正に利用される？リスクを減らすには(2022年12月13日)

【メルマガ】ドメインが正しくても信じるな？回避はかなり難しい･･･(2022年12月06日)

【メルマガ】SNS認証リスク！対策しておきましょう(2022年11月29日)

情報システムの"教科書"本を発売中！