無料通話アプリ「LINE」は、もはやおなじみの存在となった。LINE社の発表(PDF)によると、2017年第2四半期の日本国内におけるLINEのユーザー数は、およそ7000万人という。
しかし、それだけの利用者がいるとなれば、悪意をもった攻撃者のターゲットにもなりやすくなってしまうだろう。LINEユーザーをターゲットにしている人間は、どうやら日本だけではなく、国外にもいるようだ。
最近発見された「Skygofree」は、イタリアの企業によって開発されたとされるAndroidスパイウェア。端末の位置情報を許可なく追跡したり、電話帳やSMS、通話履歴といったユーザー情報や端末情報を勝手に収集する性質をもつ。
マカフィーのモバイルマルウェアリサーチチームが調査したところ、Skygofreeが脆弱性を突くためのターゲットデバイスの多くが、日本で発売された端末であることがわかった。また、監視対象となっているアプリの1つとしてLINEが含まれており、LINEの連絡先および通話履歴を収集しようとする動作を見せたという。
以上のことから、このスパイウェアのターゲットは日本のユーザーである可能性が非常に高いことが判明したわけだ。なお今のところ、日本国内の通信キャリアをよそおってニセのシステムアップデートのインストールに誘導するようなフィッシングページなどは発見されておらず、LINE側はこの件に関してとくに声明などを発表していない。
LINEを日常的に利用する層には、セキュリティへの関心が低い人たちも少なくないだろう。サイバー犯罪者たちが、そちらを狙った攻撃にシフトしていっても不思議ではない。今後、日本だけでなく、海外のマルウェア製作者も、似たようなスパイウェアを開発する可能性がある。
スマホやタブレットにモバイルセキュリティアプリケーションをインストールする、OSやアプリを常に最新のバージョンに更新する、不審なサイトからダウンロードしたアプリをインストールしないように気をつける……などといった対策は、基本中の基本だ。ただ、利用者の多いLINEともなれば、あまりセキュリティに詳しくない家族や友人などにも、対策をしっかり伝えておきたいもの。
LINEも狙われ始めているという現実をしっかり理解するために、今回はMcAfee Blogから「LINEユーザーを標的にした高度なAndroidスパイウェア『Skygofree』」を紹介しよう。
LINEユーザーを標的にした
高度なAndroidスパイウェア「Skygofree」
最近発見されたAndroidスパイウェア「Skygofree」に関して、マカフィーのモバイルマルウェアリサーチチームがさらなる調査を行ったところ、このスパイウェアのターゲットは日本のユーザーである可能性が非常に高いことが判明しました。
1.スパイウェアの概要
「Skygofree」と呼ばれるスパイウェアは、イタリアのある企業によって開発されたとされるスパイウェアであり、システムアップデートを装って端末にインストールされます。起動後アイコンをメニュー一覧から非表示にすることで、ユーザーによるアンインストールを回避しています。
ブログで紹介されている技術情報によると、このスパイウェアでは、C&Cサーバーの命令により、端末の位置情報を追跡したり、電話帳やSMS、通話履歴といったユーザー情報や端末情報を収集します。また、興味深い機能としては、端末ロックの解除後にユーザーの顔写真を撮影したり、特定の場所で会話や環境音を録音する機能が実装されています。
さらに、ユーザーに気づかれることなくスパイ活動を継続したり、サンドボックス機構で保護されている別アプリ内のデータを収集するために端末やOSの脆弱性を突くことで権限昇格を試みています。
2.ターゲット端末のリスト
このスパイウェアでは、感染端末の脆弱性を効率的に攻撃するために端末のモデル名、ビルド番号、そして、利用可能な脆弱性コードの情報がデータベースとして管理されています。私たちが、そのデータベースに含まれる端末一覧(PDF)を分析したところ、京セラ HONEY BEE 201K、サムスン Galaxy S4 SC-04E、ソニーXperia VL SOL21といった日本の通信キャリアから発売された端末がリストの半数を占めていることが判明しました。
なお、リストにある端末のモデルの発売時期を確認したところ、2012年~2013年頃に発売された端末が多いことから、OSやファームウェアのソフトウェアアップデートが提供されなくなった古い端末をそのターゲットになっています。
3.監視対象アプリ
さらに、私たちはこのスパイウェアの監視対象となっているアプリの1つとして、日本で有名なメッセージングアプリケーション「LINE」が含まれていることに注目しました。下記スクリーンショットに示すように、LINEの連絡先および通話履歴を収集しようとしています。コマンド処理の優先順位として、Viber、Messanger、Facebook、WhatsAppを抑え、真っ先にLINEに関する情報を収集しているのは偶然ではないのかもしれません。
LINE社の発表(PDF)によると、2017年第2二四半期の日本国内のLINEのユーザー数はおおよそ7,000万人おり、台湾、タイ、インドネシアといった主要4か国を合わせると1億6,900万人のユーザー数がいます。このLINEアプリ内のユーザー情報を収集するコードが、スパイウェアのプログラムに実装されていることからも、このスパイウェアの標的はLINEアプリの利用者数が多い国を狙っているものと推測することができます。
4.結論
現時点では、日本国内の通信キャリアを騙り、偽のシステムアップデートのインストールに誘導するようなフィッシングページは発見されていません。しかし、脆弱性を突くためのターゲットデバイスの多くが日本で発売された端末であり、さらに日本で有名なメッセージングアプリ「LINE」がその監視対象であることから、このスパイウェアの標的は日本のユーザーであると推測できます。
今後、スパイウェアをインストールさせようとするフィッシングページがマルウェア作者によって作成される可能性がありますので、私たち日本のユーザーは気を付けなければなりません。
なお、McAfee Mobile Securityは、このスパイウェアを Android/SpyAgent.CT として検出します。セキュリティアプリケーションを常に最新に保ち、提供元不明のアプリケーションを決してインストールしないようにしてください。ファームウェアやシステムアップデートは、端末メーカーや通信キャリアの公式ホームページまたは端末の設定メニューから行うようにしてください。
著者:マカフィー株式会社 モバイルマルウェアリサーチチーム
シニア モバイルセキュリティ& IoT リサーチャー 奥富 幸大
