サムスン、WANA地域のスマートフォンにIronSourceのスパイウェアAppCloudを強制プリインストール

 (smex.org)
1 ポイント 投稿者 GN⁺ 2025-06-22 | 1件のコメント | WhatsAppで共有
  • サムスンのAシリーズおよびMシリーズのスマートフォンに、ユーザーの同意なくAppCloudというブロートウェアがプリインストールされている
  • このAppCloudは**ironSource(イスラエルで設立された企業、現在はUnity傘下)**が開発しており、機微な情報の収集や削除不能という性質をめぐって物議を醸している
  • プライバシーポリシーが不透明で、ユーザーにはどのデータが収集され、どう利用されるのかが通知されていない
  • この強制インストール方式は、地域のデータ保護法やGDPRに違反するおそれがある
  • SMEXなどの団体はサムスンに対し、透明性の確保、削除オプションの提供、今後のプリインストール中止を求めている

問題提起: WANA地域のサムスン端末で強制ブロートウェア導入が物議

  • 最近、西アジアおよび北アフリカ(WANA)地域のユーザーから、サムスンのスマートフォンに、ほとんど知られていない侵襲的なブロートウェアAppCloudがプリインストールされているとの報告が多数寄せられている
  • ユーザーの同意や事前通知なしにインストールされ、機微な個人情報の収集、削除不能、プライバシーポリシーの不透明性など、重大な懸念が提起されている

AppCloudとironSource

  • AppCloudは**ironSource(イスラエルで設立、現在はUnity傘下)**が開発しており、この企業の性格や地域的な法的制約により、さらなる法的・倫理的論争が生じている
  • サムスンはAppCloudの機能、収集データ、ユーザーの選択権などについて何の透明性も提供していない

SMEXの公開書簡における要請事項

  • サムスンに対し、AppCloudのプライバシーポリシー、データ処理方法、削除/無効化の方法の公開を緊急に求めている
  • 今後の端末へのプリインストールについて、個人情報保護の権利を考慮するよう勧告し、関連事項を議論するための会合も要求している

AppCloudの導入実態と懸念

  • 2022年にサムスンとironSourceの協業が拡大して以降、AシリーズおよびMシリーズの新製品にAppCloudが標準でインストールされている
  • SMEXの分析によれば、このソフトウェアはオペレーティングシステム(O/S)に深く統合されており、ユーザー権限では削除できない
  • root化しなければ削除できず、無効化してもシステムアップデート時に復元される

個人情報処理方針の不透明性

  • AppCloudのプライバシーポリシーが存在しないか、情報にアクセスできない
  • どのデータを収集・活用しているのか、どのように保護しているのかについて透明な案内がない
  • 機微なユーザーデータ(生体情報、IP、端末識別情報など)を含む個人情報を収集している

同意なきインストールと法令違反のおそれ

  • ユーザーの同意なしにAppCloudが自動インストールされており、GDPRおよびWANA各国のデータ保護法に違反する可能性がある
  • ironSourceは地域の法規制上、一部の国(例: レバノンなど)では営業が禁止されている点もあり、さらなる法的・倫理的問題が浮き彫りになっている

サムスン利用規約の問題点

  • サービス利用規約ではサードパーティ製アプリに包括的に言及しているだけで、ironSourceやAppCloudに関する具体的な案内はない
  • 大規模なデータアクセスおよび制御権限を持つAppCloudについて個別の通知がなく、透明性を欠いている

ユーザーの権利侵害と市場への影響

  • AppCloudの強制インストールはユーザーのプライバシーおよびセキュリティの権利侵害に当たり、サムスンの圧倒的な地域市場シェアを踏まえると、深刻な社会的波及が懸念される
  • こうした状況に対し、団体側は次の事項を求めている
    • AppCloudの個人情報処理とデータ活用の仕組みを全面公開し、アクセス可能にすること
    • オプトアウトおよび完全削除の方法を明確に案内し、端末の安定性を損なうことなく実行可能にすること
    • WANA地域のAシリーズ、Mシリーズ端末にプリインストールする決定について、明確な理由を説明すること
    • 今後の新製品へのプリインストールを全面的に再検討し、個人情報に関する権利を保障すること(世界人権宣言第12条基準)
    • ユーザーのプライバシーおよびデータ保護政策に関して、サムスンの担当者との具体的な協議の場を設けること
  • ユーザーのプライバシーとセキュリティのため、サムスンの迅速な回答と協力が期待されている

関連記事

1件のコメント

 
GN⁺ 2025-06-22
Hacker Newsの意見

  • 企業による広告目的の大規模監視と国家情報機関による監視は、最近イランの高位核科学者や軍幹部が自宅で標的にされた事件と密接に関係しているのではないかと疑っている。どの国でも、どの陣営でも、いまや「半公開」データ(企業が販売する顧客情報やスパイ機能を搭載したアプリなど)だけで、1人についてあまりに多くの情報を推測できるという点には同意するはず。いまや情報機関は情報収集を市場にアウトソースできるため、従来のやり方よりはるかに安く便利になっている。長いあいだ「プライバシーは人権だ」という訴えは無視されてきたが、政治家たちもまもなくプライバシーが国家安全保障の問題だと気づいてほしい

    • 真実は Overton Window(社会的・政治的に許容される議論の範囲)の外側にある現実だ。ドローン時代においてプライバシーは民間防衛の問題であるにもかかわらず、現存する国家は大規模な PII(個人識別情報)データベースの構造そのものにその脆弱性を抱え込んでいる。反乱勢力がそうしたデータベースを奪って標的選定に使える以上、国家は結局、時代遅れの領土支配という幻想にしがみついているだけだ。以前に比べて支配は少数の要塞化された秘密施設へと縮小し、今後の状況は非常に予測不可能かつ極端に暴力的になっていく気がする

    • 私たちはしばしば、誰かが核施設を訪れた人々をスマホのハッキングでひそかに追跡するスパイ映画のような作戦を想像するが、もっと筋の通った説明は、MEAF(イランエネルギー庁)の下級職員に接触して、政府の組織図や給与記録が入った USB を受け取り、その見返りにその職員の子どもが有名な外国の大学で奨学金を得られるようにする、といった現実的なシナリオだと思う

    • イランの携帯通信網システムは、当初その大半を韓国企業が設置し、その後一部は中国ブランドに置き換わったが、いまでも問題のある韓国製機器が残っていると聞いたことがある

    • こうした高価値標的(イランの将軍や科学者など)は、一度見つければ衛星で継続的に追跡できる。精密な位置まで要らず、どの建物を爆撃するか分かる程度の情報で十分だ

    • 天気アプリは、位置情報をブローカーに共有する最悪の犯人の1つだ。今日天気を確認すると、明日爆撃の危険が高まる時代になってしまった

  • 元リンク(https://web.archive.org/web/20250506145643/…)が落ちているので共有する。記事では AppCloud が何なのか十分に説明されていないが、本質的には Samsung の非フラッグシップ端末ユーザーから収益化するための仕組みで、通知欄に広告を差し込んだり、アプリをひそかにインストールしたりできる。もし自分の端末でこんなものを見つけたら、もう我慢せず Apple 製品に移るつもりだ

    • そもそも Samsung を買わなければいいのでは、と思う。もちろん自分のスマホのブランドも似たことをしている可能性はあるが、まだニュースにはなっていないので相対的には安心している

    • フラッグシップモデル、特にキャリア版でも同じことが起きるのを見てきた立場から言う。一度も見たことのないアプリから通知が出続け、最近では Samsung が Galaxy AI を強制搭載し(ブラウザでテキスト選択時に絶対に消えない)、それに加えてインターフェースへの不満もあり、毎日のように自分の選択を後悔している

    • 5年落ちの iPhone を中古で買えば安く、サポート期間も長く、格安スマホより性能も良い。自分は XS から新しいモデルに替えたが、16 もそこまで大きくは変わらず、それですら中古価格があまりに下がっていて驚いた。古い iPhone はたいていの Android 中級機よりはるかに快適だ

    • Android を捨てる必要はない。Fairphone(https://fairphone.com) もある。素の Android も悪くないし、プライバシーを重視するなら e/OS/ の導入もとても簡単だ。それでもなお Samsung 端末を買う価値があると結論づけるのは、どうしても理解できない

  • 「削除不可能」という部分は正確ではない。完全には削除できないが、システムパーティション上にあるので adb コマンドで無効化できる場合が多い。下のコマンドで Galaxy Store も無効にしたことがある

    adb shell pm uninstall --user 0 com.package.name

    • 「unremovable」だが「完全には消せない」のであれば、それこそがまさに削除不能の定義だと思う

    • この方法がすべてのスマホに通用するわけではない。Motorola のようなメーカーは nodisable 機能を使って APK の無効化自体を防いでいる。自分の 2025 年モデルの Motorola RAZR 5G には、/product/etc/nondisable パスにキャリアや金融会社向けアプリ名を明記した XML ファイルがある

    • 自分も Samsung のスマホで同じく adb コマンドで削除し、その方法(https://harigovind.org/notes/removing-samsung-android-bloatware/)をまとめている。ただ、こうしたアプリはシステムアップデートのたびに復活するので、結局 Samsung のスマホは捨てて、bloatware の少ない Moto に移った

    • Samsung は事実を取り繕うために PR チームへ金を払っているのだろうし、少なくともこういう擁護をするなら君にも金が払われるべきではないかと思う。自分で直接消せないことを認めていて、シェルコマンドまで使って無効化しなければならないなら、結局アップデートのたびにまた復活する構造だ

    • 単語の意味は必ずしも技術的・文字通りにだけ使われるものではない。一般ユーザーが簡単かつ直感的にアプリを削除できないなら、実質的には「削除不可能」と同じだ。adb コマンドは PC とケーブル、adb のインストール、デバッグモードなどが必要で、一般人にとっては実質的にサービスセンター級の難易度であり、自動車のチップチューニングに近い領域だ

  • この投稿が思ったより早く広まっているので補足する。MENA(中東・北アフリカ)地域全体で似た事例が見つかっている。SMEX の記事は WANA(西アジア・北アフリカ)中心だが、MENA では「AppCloud」ではなく「Aura」という名前でも知られている。関連記事(https://moroccoworldnews.com/2025/06/…)もある

    • SMEX はレバノン拠点の団体で、(S)WANA という言葉は MENA という地名の代替として最近使われ始めた新語だという説明

    • WANA と MENA は実質的に同じ地域だ

    • 自分は企業向けモバイルデバイス管理をしていた。この AppCloud はヨーロッパのオープンマーケット端末も含め、広範囲にインストールされていた。特にエンタープライズ端末には絶対に入っていてはならない(エンタープライズ MDM、E-FOTA 管理端末を含む)。この件で Samsung 側と気まずい会話をしたこともある

    • オーストラリアで買った自分の端末にも入っていた

  • AppCloud は、物議を醸してきたイスラエルのスタートアップ ironSource が開発し、最近アメリカ企業 Unity に買収された

    • ということは、今では Unity が malware に関わっているという冗談も言える

    • 最も奇妙な合併は、Unity が ironSource を 44 億ドルも出して買収したことだ

  • Samsung だけが 150 ドル以下で買える非中国系スマートフォン(スパイウェア論争のないもの)の唯一の選択肢だと思って購入を検討していたが、これで残る選択肢が微妙になった。オープンソースのファームウェアを入れられるスマホがあるならそれを検討する。自分はスマホを信用していないので重要な情報は一切保存せず、ログインもアプリのインストールもしていない。Linux が動かない機器は信用できない

  • ヨーロッパや北米でも Samsung のスマホに AppCloud は入っている。初期状態でも、システムアップデート後でも、さらにはセキュリティアップデート後でもインストールされる(皮肉なことに)。キャリアロックの有無とも無関係で、設定で「システムアプリを表示」を有効にして初めて見えることもある。Galaxy S シリーズを含め、多くのユーザーがこれを報告している。AppCloud をめぐる状況は本当にばかげていると感じる

  • サプライチェーン問題は、現代のセキュリティでもっとも「サイバーパンク」的な現実だ。これは数学の問題ではなく、信頼、権力、金に左右される。顧客も安全でいられる形でサプライチェーンに暗号学的検証を導入できる可能性がまだ残っているのか、それとももう手遅れでサイバーパンク的ディストピアの未来しか残っていないのか気になる。数学がこの構図を変えられるのか考えてしまう

  • 「root 権限なしでは削除不可能、root 化すると保証が無効になりセキュリティリスクがある」という主張は、私たちをこんなばかげた状況に追い込んだ企業プロパガンダそのままの言い回しだ。自分が端末の所有者なら、root 権限も当然の権利であるべきで、それでこそ本当の所有権が認められる

    • 法的には、あらゆるサードパーティ製ソフトウェアを実行できるハードウェアは汎用コンピューティング装置と見なされるべきであり、ユーザーが実行するソフトウェアへの暗号学的またはその他の制限(たとえば Secure Boot、remote attestation など)は禁止されるべきだ。これは端末のすべての部品にも適用されるべきだ。また事業者が remote attestation の失敗を理由にサービス提供を拒否すること(サービスプロバイダー自身の保護目的であっても)も禁止すべきだ。こうした制限は結局、ユーザーではなく広告事業者(たとえば動画プレーヤー改変による広告スキップ防止など)にしか利益をもたらさない

    • 現在の構造では、root 化するとセキュリティ低下が避けられないのも現実だ。Verified Boot が使えないことも、attestation が企業に帰属していることも、すべて構造上の問題だ

    • 最近は「ハードウェア利用ライセンス」のような形に変わり、自分の所有する端末を自由に使う自由すら奪われている。特に米国や欧州以外の地域、たとえばアフリカでは、プライバシーや消費者の権利という概念自体が弱い

    • 現在の法的現実は企業プロパガンダの結果であると同時に、実体的な現実でもある。「root access voids warranty(root 権限で保証無効)」はすでに多くの地域で実際に事実だ。プロパガンダの繰り返しというより、現実の説明に近い

    • 「root 化は保証無効でありセキュリティリスクでもある」という文自体は間違っていないが、事実の記述と価値判断を同一視してしまうと複雑な問題になる。たとえば「火傷するかもしれない」という警告が、実際には多くの人が火に依存して料理や暖房をしている現実を十分に表していないのと同じで、あまりに単純化しすぎている

  • この分野の専門ではないが、もし性能を犠牲にしてでもセキュリティ(閉鎖的な西側ハードウェアの排除)だけを追求するなら、最高レベルのハードウェア・ソフトウェア人材が力を合わせて完全に安全なスマートフォンを作ることはどの程度可能なのだろうかと気になる。たとえば、検証済みマイクロカーネル、デフォルトの全面的な暗号化メッセージング、暗号化メモリ、プロセス間通信の暗号化、モデム・周辺機器・バッテリー用のハードウェアスイッチなどだけでも、かなり意味のあるものになりそうだ

    • だが、技術的に可能かどうかなど資本の力の前では意味がない。資本は自ら制御できない装置を決して許さない。本当に安全な端末は結局夢物語にすぎない

    • 製造段階で使えるレベルの検証済みマイクロカーネルは、とてつもないエンジニアリング上の偉業であることは指摘しておきたい