TokyoBlackHatNews

esecurityplanet.com 5分で読了

インド、全スマートフォンに削除不可のセキュリティアプリを義務化

インドは、すべての主要スマートフォンメーカーに対し、政府のセキュリティアプリ Sanchar Saathi を新たに販売されるすべてのデバイスに恒久的かつ削除不可の形でプリインストールするよう命じました。

この指令は、Apple、Samsung、Xiaomi、Vivo、Oppo、その他インドの巨大な通信市場に参入するすべてのベンダーに適用されます。

この動きは直ちに監視リスク、利用者の自律性、消費者デバイスに対する前例のない国家統制への懸念を呼び起こしました。

ロイター(2025年)報道によると、弁護士のMishi Choudhary氏は「政府は実質的に、ユーザーの同意を意味のある選択肢として排除している」と述べています。

インドの義務化セキュリティアプリの主な特徴

Sanchar Saathiは、もともとウェブポータルとして開始されましたが、現在はOSに直接統合される必須のモバイルセキュリティプラットフォームとして再構築されています。

このアプリには、以下を含む複数の詐欺対策ツールが搭載されています:

  • Chakshu:不審な通話やメッセージを報告する仕組み
  • 紛失・盗難端末のブロック:中央機器識別登録(CEIR)と連携
  • モバイル接続情報の確認:自分の名義で登録されたSIMを特定可能
  • デバイスの真正性チェック:ハードウェアやIMEIの有効性を検証

政府はこのプラットフォームの成果を強調しており、70万台以上の紛失・盗難端末の追跡に役立ったと主張しています。しかし、アプリが削除不可であることが義務付けられたことで、即座に反発が起こりました。

端末メーカーは、強制インストールがユーザーの信頼を損ない、長年のプラットフォーム原則に違反すると懸念しています。特にAppleのような、システム権限を持つサードパーティアプリのプリインストールを禁止している企業にとっては深刻です。

プライバシー団体は、政府が監視の意図を否定しているとしても、この義務化が侵入的な監視への道を開くと主張しています。

義務化されたシステムアプリのセキュリティへの影響

一般的なモバイルアプリとは異なり、Sanchar Saathiはシステムレベルのコンポーネントとして組み込まれる必要があり、デバイス識別子やネットワークインターフェース、不正報告ワークフローへの特権アクセスを持ちます。

これ自体が悪意ある機能を示すものではありませんが、選択肢の欠如とアプリが削除不可であるという要件は、デバイスのセキュリティモデルを大きく変えます。

セキュリティチームにとっての懸念点は以下の通りです:

  • 攻撃対象領域の拡大:権限の高いシステムアプリは、脆弱性が発生した場合に新たなセキュリティリスクをもたらす可能性があります。
  • 強制的なデータ経路:不正報告やデバイスチェックにより、企業が回避できない集中型のログやメタデータの流れが生じる可能性があります。
  • 規制上の不確実性:企業は、技術的なガイダンスや透明性がほとんどないまま、急速かつ一方的な義務に従う必要があります。
  • サプライチェーンへの影響:ソフトウェアのプリインストール要件は、製造ライン、OTAアップデート、端末認証プロセスに影響を及ぼします。

現時点でこのアプリが監視目的で使用されている証拠はありませんが、批評家はシステムレベルのアプリが機能の拡大や、将来的なさらなるデータ収集命令の道を開くと警告しています。

義務化された政府アプリからデータを守る方法

消費者はSanchar Saathiを削除できませんが、組織はリスクを最小限に抑え、コンプライアンスを維持するために以下の対策を講じることができます:

  • BYODおよびモバイル端末管理ポリシーを更新し、MDMソリューションが義務化アプリと企業設定との相互作用を考慮するようにします。
  • ネットワークトラフィック、VPN活動、異常な通信パターンを監視することで、モバイル端末の予期しないシステム挙動を検出します。
  • 企業データの暗号化、コンテナ化の徹底、システムレベルアプリからの業務データ分離により、モバイルプライバシー制御を強化します。
  • デバイス認証・認可にセグメンテーションやゼロトラスト原則を適用し、機密内部システムへのモバイルアクセスを制限します。
  • モバイル脅威防御ツールを活用し、リスキーな権限や異常なアプリ挙動、プリインストールされたシステムアプリからの潜在的に安全でないデータフローを検知します。
  • クラウドファーストのアクセスモデルを徹底し、ローカルストレージへの依存を減らすことで、モバイル端末に保存される企業データを最小限に抑えます。
  • 従業員への明確なコミュニケーションを準備し、GDPRDPDP法など、地域要件に準拠するための法的・規制的・データ取扱義務を見直します。

これらの対策を組み合わせることで、組織は義務化されたシステムアプリによる課題にもかかわらず、セキュリティとコンプライアンスを維持できます。

インドのアプリ義務化が世界に与える影響

インドの義務化は、政府がモバイルセキュリティをどのように捉えているかという世界的な変化を反映しています。スマートフォンは、詐欺、サイバー犯罪、偽情報対策の最前線のツールとしてますます扱われています。

しかし、セキュリティ機能がOSのより深いレベルに移行するにつれ、正当な保護と政府による過剰介入の境界線はますます曖昧になっています。

削除不可の政府アプリ、特にシステムレベルのアクセスを持つものを義務付けることは、強力な前例となり、インド国内だけでなく他国の規制当局にも影響を与える可能性があります。

この進化する状況は、ゼロトラスト原則がデバイスのセキュリティとアクセス管理に不可欠になりつつある理由を改めて示しています。

翻訳元: https://www.esecurityplanet.com/threats/india-mandates-undeletable-security-app-on-all-smartphones/

ソース: esecurityplanet.com
#2025年サイバーセキュリティ #AIプライバシー #Galaxyスマートフォン #インドネシア #グローバル規制 #サンチャルサーティ #ユーザーの自主性 #強制プリインストール #政府アプリ #監視リスク

関連記事

Claude Code GitHub Actionsの脆弱性がサプライチェーン攻撃リスクを招いた問題

GoogleがAndroidのゼロデイ脆弱性にパッチを適用——実際の悪用が確認

偽のClaude Codeインストーラーが認証情報を盗むマルウェアを配布