昨日、ある開発者のアプリが乗っとられたと言う話題が開発者界隈を駆け抜けました。

AppStoreで盗難事件発生。半年かけて作ったゲーム、『プロエリウム』がAppStoreから盗まれ別業者に販売される。
本日、対戦カードゲーム『プロエリウム』のアプリがAppStoreから盗まれ、ほかのメーカーのものとなる事件が発生した。 …

「App Storeのアプリが盗まれた」　ゲーム「プロエリウム」作者が悲鳴　不正ログインで別人から配信される事態に – ITmedia ニュース
「アプリ盗まれた」――App Storeで公開されていた対戦型カードゲームアプリ「-PLOELIUM-」（プロエリウム、無料）の権利が不正に別人に移され、別人の名前で配信されていることを開発者のaki …

大変ショッキングな出来事であり、一日も早く解決することを願ってやみません。
パクリアプリより、より直接的にオリジナルアプリ開発者の権利を侵してきた見過ごすことはできない事件だと思います。

なぜアカウント情報は漏れたのか？

ではなぜ開発者アカウントのログイン情報が漏れたのでしょうか？
他のサービスとメールアドレスやパスワードを使い回していて、どこかから漏れたリストから推測されたのかと当初は思われていましたが、どうやらもっと直接的な原因があったようです。

この真ん中のアプリの利用が原因だ。 pic.twitter.com/HtSgluSr9P

— akira nagaoka (@ngokakr) 2014, 8月 5

開発者名がさっきのアプリを持ってる奴に変わってます。 pic.twitter.com/DlkQOYY6vW

— akira nagaoka (@ngokakr) 2014, 8月 5

昨日乗っ取られたアプリ「PLOELIUM」の販売者名が「leo Le」から「Lee Elman」に変わっています。
そして先ほど原因とされたアプリ「Sales And Trends Apps」の販売者名も同じ「Lee Elman」です。

「Sales And Trends Apps」はITCの売上リポートを見るためのアプリのようです。
このアプリにITCのメールアドレス、パスワードを入力してしまい、それが乗っ取り犯に送信されてしまったのが原因でしょう。
つまりこのアプリはITCのアカウント情報を抜き取る目的のための罠がはられたアプリだと予想されます。

このアプリはgithubで公開されている「AppSales-Mobile」と同じ物のように見受けられます。

「AppSales-Mobile」にメールアドレスとパスを送信する機能を勝手に追加した物なのでしょう。

「AppSales-Mobile」自体は昔から開発者の間では使われているアプリで（私も使っています）安全な物です。
使用する場合はgithubからプロジェクトを持ってきて安全確認後、自分でビルドして使用しましょう。

防ぐには？

ではどうやったらこの様な事態を防ぐことができるでしょう？
それは一にも二にもITCのアカウント情報を漏らさない様にすることです。

・メールアドレスはITCログイン専用とし、他のサービスへの登録や連絡用に誰かに伝えたりしない。

・ITCのログイン情報を登録する必要があるアプリやサービスは極力使わない。
・使う必要があるときはサービス元や販売元をよく調べる。
・それらのサービスに登録するアカウントはadminのアカウントの情報を登録するのではなくセール情報にアクセスできる権限に絞ったアカウントを作成しその情報を使用する。

特に最後の「権限を絞ったアカウントを用意する」と言うのは大切です。
このアカウントを用意して外部サービスに登録するのはこのアカウントの情報としておけば情報が漏れたとしてもアプリの譲渡などの操作は行えませんし、アカウント自体を無効にし、作り直せば安全は取り戻せます。

開発者の方でもしセールス用アカウントを作っていない方は今すぐ作った方がよいでしょう。