マルウェア情報局
サイバーマンデーのスマホショッピングを狙うアプリ詐欺
本記事はキヤノンITソリューションズが提供する「マルウェア情報局」に掲載されたスマートフォンでサイバーマンデーを楽しむために気をつけるべきことを再編集したものです
まず初めに、少しだけ統計に基づいて話を進めることにする。アドビ・デジタル・インサイツ (ADI) 社の調査で、2017年サイバーマンデーのオンライン売上高のうち、スマホやタブレット経由がおよそ3分の1を占めたことが明らかになった。近年、この比率は上昇傾向にあり、おそらく2018年のサイバーマンデーでも同様の傾向になると見込まれている。さらに、1日あたりのインターネットでの売上高は米国内で過去最高に達するだろうとADIは予測している。その一方、これらスマホやタブレットでお得な商品を物色する際には、十分な注意が求められる。
先日「WeLiveSecurity」に掲載された「ブラックフライデーに安全に買い物するために」というタイトルのショッピングガイドラインに関する記事の内容は、パソコン経由だけでなく、スマホでのショッピングの際にも当然ながら適用できる。加えていえば、スマホならではの画面の小ささがゆえに、セキュリティー的なリスクがより深刻になることも事実である。
これは、デバイス自体の性質だけではなく、人間の本質も関係している。有名ブランドの服が安売りされていたり、非常に魅力的な商品が激安で販売されていたりすれば、思わず衝動買いしてしまう人も多いはずだ。そこで、スマホを利用して買い物をする時に注意しなければならない点を考えてみることにしよう。
人間の弱みを詐欺師は狙う
想像してみてほしい。外出中で気が緩んでいるところに、Facebookの友人から1件のメッセージが届くとする。そのメッセージには、最高の音質を追及したオーディオ愛好家向けのヘッドフォンがほんの短時間だけ「特別価格」で販売されることが書かれてある。ワクワクしながら、貼付されたリンクをクリックすると、「お買い得品をゲット」できてしまう。
結局のところ、今は情報ネットワークで多くの人たちと繋がっていて、すべてがワンクリックで済むような時代だ。そのため、誰もが人から勧められると、いとも簡単に従ってしまい、今すぐにでも欲しいという気持ちを抑えきれなくなってしまうのである。
しかし、ここからが問題だ。友人のアカウントが実は感染していて、リンク先のURLにアクセスすると、知らず知らずのうちにクレジットカードの詳細情報が盗まれてしまう。その結果、極めて重要な情報が詐欺師の手にみすみす渡ることになるのだ。
ほんの短い間だけ「お得な商品」が必ず手に入れられるとなれば、誰でも注意力を失ったり、「心のブレーキ」を踏まなかったりというのはやむを得ないことである。私たちが深く考えずに行動してしまうのは、生まれつきの弱点でもある。詐欺師は、巧みなソーシャルエンジニアリングを用いてこの弱点を悪用するのだ。
詐欺に引っかからないためには、話がうますぎるメッセージについてはURLを決してクリックしないこと。友人が送付したメッセージでも、送信者が本人であるかの確認は必須である。いずれにせよ、メッセージの内容が正しいものかを再確認するために、必ずそのショップのアプリやウェブサイトを訪問してチェックすることが望ましいといえる。
アプリを用いた詐欺を回避する
上記の例では、SMSを悪用したフィッシング (別名、スミッシング“smishing”ともいわれる) の被害に遭う可能性もある。例えば、人気のある正規のモバイルアプリに偽装したトロイの木馬を気づかずにダウンロードし、個人データが盗まれたり、スクリーンロック機能が実行されたりという恐れがある。また、こういったアプリと同じく、ブラックフライデーやサイバーマンデー向けの偽アプリにも注意が必要だ。特にセールの直前や最中に怪しげな非公式の特別な情報を送りつけ、大幅な割引や特別な「おまけ」を材料に、ターゲットを誘い込もうとするのだ。通常は有料のアプリや、待望のアプリの偽バージョンについても同じことがいえる。この時期は特にしつこく宣伝してくるため、根負けしないように注意しなければならない。このようなアプリは、他にもたくさんある。
アプリはスマホに忍び込むために、まるで本物のような宣伝文句を並べている。トラブルを避ける一番確実な方法は、Google Playやアプリストア以外でダウンロードしたアプリは利用しないことだ。多くの大手小売事業者はAndroidやiOS専用の公式アプリを用意している。仮に、怪しいアプリがプラットフォーム上の店舗やアプリストアに忍び込んでいても、アプリの説明や否定的なレビュー、アプリの要求するアクセス権限に留意すると、不審なものは排除することができるだろう。
当然のことながら、ここまで述べたことはすべてiPhoneを改造(JAILBREAK *1)しないこと、Android端末が壊れていないことを前提にしている。グーグルやアップルのOSの「制約」から解放されれば、ソフトウェアを際限なくカスタマイズできる反面、その「すばらしい新世界 (brave new world)」はいとも簡単に最先端の脅威へと変貌することも忘れてはならない。
*1 一般的にアップル社のiOSを搭載した端末に、公式アプリストア外のアプリも動作可能にするように改造を施す行為のこと。日本では「脱獄」と呼ばれることもある。
安全な接続方法を選択する
手軽に持ち運べるスマホを他人のWi-Fiネットワークに接続すると、トラブルに巻き込まれる恐れがある。誰もがどこでもWi-Fiに接続しようとするが、少なくともWPA2で暗号化されていない公共のWi-Fiホットスポットはトラブルの温床になる恐れがある。例えば、攻撃者は、「悪魔の双子 (evil twin)」と呼ばれるアクセスポイントを設置する。これは、正規のWi-Fiスポットと同じ名称のため、一見すると誰もそれが不正のものであるとは気づかない。しかし、その不正なホットスポットに接続してしまうと、詐欺師はトラフィックを傍受できてしまうのだ。あるいは、フィッシングページに誘い込むウェブサイトを設置し、最終的にユーザー名やパスワードを盗み出すこともある。この点は、ノートパソコンも同じリスクを抱えている。
一般的に、こういった攻撃への最も簡単な対策として、携帯電話会社のデータネットワークや仮想プライベートネットワーク (VPN) サービスを使用する方法が挙げられる。あるいは少なくとも、ログイン情報を入力しなければならないウェブサイトや、HTTPSで通信が保護されていないウェブサイトにはアクセスしないことだ。要するに、公共Wi-Fiネットワークでは個人情報を絶対に入力してはならないということである。また、スマホが通信範囲内のオープンネットワークに自動接続するように設定されていないかを確認し、Wi-Fiを使っていない時は、Wi-Fi接続を解除することも心がけたい。
ホリスティックなアプローチで安全を保つ
インターネット上でショッピングする時だけではなく、常にほかの予防策も忘れてはならない。これには、危険を冒さないための「ホリスティック(ギリシャ語で「包括的」という意味)」つまり、さまざまな角度からのアプローチを取り入れなければならない。例えば、OS、アプリ、セキュリティーソフトなどを最新のものにアップデートすること。端末のスクリーンロックを解除するために安全な認証方法を採用すること。さらに、デバイスの暗号化が初期状態で無効になっている場合には、必ず設定を有効にすること。オンライン口座やそれに関連するすべてのサービスで二段階認証または多要素認証を有効にすることなどだ。
そして、同様に重要な点として、スマホは最も貴重かつ大切なデータを保存している「小型コンピューター」であることを忘れてはならない。しかし、残念ながらそのように考えている人はほとんどいないのが実情である。まずは、その考え自体を変えるところから始めなければならないだろう。
[引用・出典元]
Smartphone shopping: Avoid the blues on Cyber Monday by Tomáš Foltýn posted 26 Nov 2018 - 11:57AM