CamScannerはマルウェアという点では今日おそらく安全ですが、プライバシー上の妥協は重大です。ドキュメントは中国の法的管轄下にあるサーバーへアップロードされ、端末情報を収集する広告SDKが組み込まれており、フル機能を使うには活動を恒久的なプロフィールに紐付けるアカウントが必要です。Kaspersky Labが発見した2019年のTrojan-Dropper事件は解決済みですが、構造的な懸念は残っています。本記事では公開された事実を整理し、トレードオフを説明し、結論はあなたに委ねます。
はじめにお断りしておくと、私たちは競合スキャナーのScanLensを開発しているため、利害関係は明らかです。それでも、内容は事実に即して公平に書くよう努めました。以下で引用するものはすべて公開情報、すなわちKaspersky Labの調査、ForbesとThe Vergeの記事、CamScannerが公開しているプライバシーポリシーから取られています。公開情報の範囲を超えた主張はしません。
CamScannerとは
CamScannerは中国・上海に本社を置くINTSIG Information Co., Ltd.が開発するドキュメントスキャナーアプリです。AndroidとiOSで10年以上提供されており、世界で最もダウンロードされているスキャナーの1つです。ドキュメントスキャン、OCR、クラウドストレージ、PDF変換、ファイル共有を備えています。
アプリはフリーミアムモデルで運営されており、無料プランには広告が表示され、Premiumサブスクリプションで広告が消えて追加機能が解放されます。CamScannerは全機能を使うのにアカウント作成を求め、スキャンしたドキュメントはCamScannerのクラウドサーバーへ同期されます。
長年、CamScannerはスマートフォンでドキュメントをスキャンしたい人にとって自然な選択肢でした。それが2019年8月に変わります。
2019年のマルウェア事件
2019年8月、世界で最も有名なサイバーセキュリティ企業の1つであるKaspersky Labの研究者が、CamScannerのAndroid版に悪意あるコードを発見しました。具体的には、CamScannerがアプリに統合していたサードパーティ広告ライブラリの中に組み込まれた、Trojan-Dropperコンポーネント(Trojan-Dropper.AndroidOS.Necro.n)です。
このTrojan-Dropperは、ユーザーの端末上で追加の悪意あるコードをダウンロードして実行できました。Kasperskyの分析によれば、悪意あるモジュールは押しつけがましい広告を表示し、ユーザーの知らないうちに有料サービスへ登録し、リモートサーバーから到来する任意のコードを実行できました。発見は重大で、GoogleはCamScannerをPlay Storeから削除しました。この件はForbes、The Verge、ZDNetなど多数のテック系メディアで報じられました。
多くのユーザーにとって、これは大規模で評価の高い生産性アプリが、ハッキングではなく開発元が組み込んだサードパーティSDKを通じて、本質的に悪意あるコードのキャリアになっていた最初の経験でした。
その後の経過
INTSIGに対して公平に言えば、同社は対応しました。CamScannerは問題の広告SDKを取り除き、アプリの更新版を公開、最終的にGoogle Play Storeで復活しました。INTSIGは問題を自社コードではなくサードパーティ広告ライブラリに帰属させましたが、これは妥当です。広告SDKを通じたサプライチェーン侵害はモバイルエコシステムでよく知られたリスクで、他のアプリも類似の問題に直面してきました。
事件の収束以降、アプリは2大ストアで利用可能です。この特定の問題が公に再発した記録はありません。これは認めるべきことです。2019年の事件は、CamScannerの開発者が意図的に悪意あるコードを配布したという意味ではありません。アプリの収益化のために選ばれた広告SDKが、深刻なセキュリティ脆弱性を持ち込んだという意味です。問題は、それがアプリのビジネスモデルにおけるトレードオフについて何を語るかです。
データ管轄:中国に紐付くということの意味
2019年の事件とは別に、CamScannerにはバグや粗悪なコードとは無関係なもう1つのプライバシー上の論点があります。INTSIGは上海に本社を置き、中国で活動するすべての企業と同様、中国のデータ関連法の適用を受けます。
中国のデータ規制の枠組み、すなわちサイバーセキュリティ法(2017年)、データセキュリティ法(2021年)、個人情報保護法(2021年)などは、管轄下の企業が保有するデータへ中国政府が広範にアクセスできる権限を与えています。これは推測でも編集上の意見でもなく、法律の条文に書かれています。
CamScannerでドキュメントをスキャンし、ファイルがCamScannerのクラウドサーバーへアップロードされると、データは中国の管轄下にある企業が運営するインフラ上に置かれます。中国政府がCamScannerユーザーのデータへアクセスする権限を行使したかは公には知られていません。しかし、そのようなアクセスを可能にする法的枠組みは存在します。
一部のユーザーにとって、特に個人の財務書類、法律関係の記録、医療情報、ビジネス契約をスキャンする人にとって、この管轄問題は過去のどのマルウェア事件よりも重要です。マルウェアは修正可能なバグでした。管轄は構造的なものです。
これはCamScanner固有の問題ではありません。どの国の管轄下にある企業が運営するアプリであれ、その国のデータアクセス法の適用を受けます。問題は、自分がスキャンする内容の機密性に照らして、その特定の管轄に納得できるかどうかです。日本のユーザーにとっては、個人情報保護法(APPI)、個人情報保護委員会(PPC)の運用、そして越境データ移転に関する委託先管理が、この判断のもう1つの軸になります。
CamScannerのプライバシーポリシーが述べていること
CamScannerが自社サイトで公開しているプライバシーポリシーには、標準的な慣行が記載されています。アカウント登録によるユーザーデータの収集、アプリ利用状況の分析、同期のためのスキャン文書のクラウドサーバー保管、ユーザー行動を評価するための外部分析パートナーとの連携などです。
特に、ポリシーはINTSIGの企業構造内(中国のインフラを含む)でデータが共有される可能性、および同社が自らの管轄下で適用されるデータアクセス法を遵守する旨に言及しています。これはクラウドアプリの標準的な文言ですが、完全にオンデバイスで処理するモデルとは異なります。オンデバイスモデルでは、ドキュメント処理に関するプライバシーポリシーは1行に集約されます。「ドキュメントは端末から外に出ません」と。
プライバシー重視の代替アプリが代わりに提供するもの
プライバシーが優先事項なら、プライバシー重視のスキャナーが提供する構造的なアプローチがいくつかあります。
- オンデバイスOCR。テキスト認識はApple Visionや同等のローカルエンジンで端末上で実行され、ドキュメントはリモートサーバーへ送られません。例えばScanLensはiPhoneでApple Visionを使用しており、OCR処理中にドキュメントがクラウドへ出ることはありません。
- アカウント不要。登録なしでインストールして使え、スキャン履歴が恒久的なプロフィールに紐付けられません。
- 広告なし。広告で収益化していないスキャナーには、将来「AdHub事件」の発生源となり得る広告SDKがありません。
- 自分のクラウドで同期。クラウドが必要なら、独自のCamScanner Cloudではなく、あなたのiCloud、Google Drive、Dropbox、OneDriveを使います。
- 管轄は手元に。ドキュメントは自分の端末、自分の国、自分の国の法律のもとに留まります。
これらはマーケティング上の差ではなく、構造的な違いです。「ドキュメントがどこにあって、誰がアクセスできるのか」という同じ基本的な問いに、別のアーキテクチャ選択で答えています。
まとめ
CamScannerは今日安全でしょうか。マルウェアという観点ではおそらく安全で、2019年の事件は再発していません。しかし「マルウェアがない」ことと「プライベート」は同じではありません。クラウドでの処理、無料プランの広告SDK、必須アカウント、中国の管轄というビジネスモデルは、オンデバイス処理モデルよりも多くの人々とシステムがあなたのドキュメントを見ることを意味します。機密度の低いドキュメントには問題ありません。機密度の高いドキュメントなら、構造的によりプライベートな代替を検討する価値があります。
プライバシーのためにツールを乗り換える価値があると感じたら、ScanLens vs CamScannerの比較をご覧ください。詳細な比較表と料金分析があります。あるいはScanLensのトップページから始めてください。無料ダウンロード、アカウント不要、オンデバイスOCRです。