この記事はショートドラマアプリ「DramaBox(ドラマボックス)」の危険性について解説します。
アプリストアのエンターテイメントカテゴリで上位常連の「DramaBox(ドラマボックス)」ですが、ユーザーのクリップボードを覗き見ている可能性があります。
今回はその「DramaBox(ドラマボックス)」を検証して感じた危険性について解説していきます。
もくじ
DramaBox(ドラマボックス)の危険性1:不可解なクリップボードの情報利用
アプリをインストール後、クリップボードの利用確認が表示される
▼TikTokなどで大量に見かけるショートドラマコンテンツアプリのCM。ここから画面下部のリンクをタップすることでアプリストアに移動します。
▼そこからアプリを開くと、まず冒頭にこのように「ペーストしようとしています」と表示されます。
この表示が何を意味しているかというと、スマホのクリップボード(コピーした情報を一時的に保管しておく場所)のデータがこのDramaBoxへ提供されることを示しています。
ここでもしペーストを許可を選択した場合、なんとクリップボードに入っている情報がアプリ側に引き渡されることになります。
クリップボードはパスワードをコピーしたりする際に利用する重要な場所
通常、クリップボードはPC、スマホに標準的に搭載されている機能ですが、ユーザーからすると、常に目に見えている情報ではないため、実態が掴みづらい機能と言えます。
クリップボードの利用シーンとして最も多いのが、メモ帳からパスワードなどをコピーして利用するケースです。
要するに、
▼もし、このタイミングでどこかで使用しているパスワードがクリップボードに合った場合、その文字列をDramaBoxに提供してしまう、ということになります。
つまり、知らず知らずのうちに自分のパスワードをDramaBoxに提供しているかもしれない、ということに繋がります。
Androidの場合、さらに危険
▼Android端末でDramaBoxをインストールした直後でも同様の画面が表示されます。
この画面、iPhoneの場合では、
▼この画面が画面上に表示されると、いずれかの選択肢をタップするまで画面上から消えることはありませんが、
Androidの場合、
▼この画面が一瞬にして次の画面に切り替わり、拒否・承認の選択をするまもなくタイトル一覧の画面が表示されます。
※上記スクショは2回目のインストール時に運良く撮影できたもの。
画像を読むと「マーケティングおよびプロモーションのためにクリップボードのデータを収集します」とありますが、通常、アプリがどの経路からダウンロードされたかを計測するのにクリップボードは必要ありません。
また、マーケティング・プロモーションを理由に収集するとありますが、それらのデータが適切に管理されているか、守られているかをユーザーは知るすべがありません。
クリップボード閲覧は過去にTikTokでも問題に
クリップボードの中身を取得する問題は、過去にTikTokでもありました。
問題の発覚
- 2020年6月、iOS 14のプライバシー機能により、TikTokがユーザーのクリップボード(コピーしたテキスト)を定期的に読み取っていることが発覚。
- iOS 14では、アプリがクリップボードのデータにアクセスすると「ポップアップ通知」が表示されるようになり、TikTokが短い間隔(数秒ごと)でクリップボードを監視していることが明らかに。
どのようなデータが漏れていた可能性がある?
ユーザーがコピーしたあらゆる情報(他のアプリやWebサイトから)がTikTokに自動で送信されていた可能性があります。
クリップボードに保存される可能性のあるデータ
✅ パスワード・ログイン情報(例:パスワードマネージャーのコピー機能)
✅ 個人情報(住所、電話番号、メールアドレスなど)
✅ クレジットカード情報(決済時にコピー&ペーストした場合)
✅ メッセージの内容(コピーした場合)
✅ URLや機密情報(他のアプリやブラウザからコピー)
特にiOSでは、「ユニバーサルクリップボード」機能により、MacやiPadとクリップボードが共有されるため、TikTokがPCやタブレットのデータも取得できた可能性がある。
今現在では、その機能は削除されているが・・・
TikTokでは既にその機能は削除されていますが、クリップボードというセンシティブな場所を利用するという点においてはかなり危ういと言わざるを得ませんが、DramaBoxは未だその機能を実装し続けています。
DramaBox(ドラマボックス)の危険性2:ライブアクティビティの許可を要求する点
DramaBoxをインストールすると、ライブアクティビティの許可を要求してきます。そのライブアクティビティを許可することでユーザーの大量のリアルタイムデータをアプリ側に提供することになります。
iPhoneの「ライブアクティビティ」とは?
iPhoneの「ライブアクティビティ」とは、ロック画面やダイナミックアイランド上でリアルタイムに変化する情報を表示する機能です。これにより、アプリを開かなくても、進行中のアクティビティを簡単に確認できます。
アプリがライブアクティビティから取得できる情報の一覧
アプリ提供社がライブアクティビティを実装し、ユーザーが許可した場合、以下のような情報をリアルタイムに取得できます。
| 取得可能な情報 | 解説 |
|---|---|
| 時刻 | 現在時刻(カウントダウンや試合経過時間などで使用) |
| アプリの状態 | ライブアクティビティを表示・更新するトリガーとなる状態変化 |
| 位置情報(制限あり) | 配達・移動系アプリが必要な場合にユーザーの許可を得て取得可能 |
| アクティビティの進捗 | タスクの進行度(例:配達のステータスやランニングの距離) |
| メディア情報 | 音楽アプリの場合、再生中の曲名やアーティスト情報を表示 |
| ネットワーク状況 | オンラインかオフラインかの判定 |
| 通知のトリガー | 特定のイベント(例:スコア更新、配達完了)でライブアクティビティを更新 |
| アプリのユーザー設定 | ユーザーが選択したカスタマイズ情報(例:通知頻度、テーマ) |
つまり、アプリの状態や位置情報、今現在DramaBoxアプリとは違うところでユーザーがどのような場所でどのような利用をしているかをつぶさに確認できる状況下になる可能性があります。
DramaBox(ドラマボックス)の危険性3:ダイナミックアイランドから勝手に起動する可能性
▼iPhone14Proより、画面上部のフロントカメラ箇所に「ダイナミックアイランド」が実装されました。
この部分は、直近で起動し利用しているアプリのステータスが表示されます。
例えば、音楽アプリを使って曲を再生していた場合、その曲のジャケット写真が表示されたり、などです。
そしてこのDramaBoxでもこのダイナミックアイランドを利用する機能が実装され、
▼アプリ起動後、ホーム画面に戻ると、このようにDramaBoxが利用していることがわかります。
これだけでは問題ありませんが、注意点としては、アプリをキルして落としている(起動していない状態)でも、ダイナミックアイランドのこの場所にDramaBoxのアイコンが表示され、この部分をタップしただけでDramaBoxが起動する、というもの。
日常的にDramaBoxを起動しコンテンツを見ている方は別として、あまり利用しないユーザーからすると、アプリ起動ボタンが常に画面の上部に張り付いている形となります。
ここで先程のクリップボード閲覧の件とライブアクティビティの仕様を組み合わせると、
- 意図しないタイミングでアプリを起動する
- そのタイミングでクリップボードにある情報がDramaBoxが提供される
- リアルタイムでどのようなアプリを利用しているか、ライブアクティビティから筒抜け
という3点セットとなり、ユーザーの日常生活、はたまたクレジットカード番号やパスワードなどが掠め取られてしまう可能性が含まれています。
まとめ
いかがでしたでしょうか。
今回は、ショートドラマアプリ「DramaBox(ドラマボックス)」の危険性について解説しました。
一度問題になっているクリップボード内容を堂々と取得するところにはもはや潔さすら感じますが、ユーザーからすると、かなり危険度の高いアプリではないかと推測されます。
アプリ自体は(プロモーションの甲斐あってか)エンターテイメントカテゴリのランキングで常に上位に位置しています。タイトルの更新頻度もかなり高いのでハマるユーザーはハマりそう。ただし、この記事で示した「どのような情報が取得されているか」については、よくよく考えたうえで利用するようにしましょう。
