すでに偽装サイトやマルウェア、人気のゲームだけに続々と登場している便乗犯罪
シマンテック、ポケモンGOにおけるセキュリティの危険性からデバイスを保護する方法を公開
2016年07月15日 19時22分更新
シマンテックは7月14日、世界的に爆発的な流行を見せている任天堂「ポケモンGO」の流行を受け、プレイする際に気を付けるべき注意喚起を行なった。
同社によると、ポケモンGOの人気に便乗してソーシャルメディア詐欺やトロイの木馬を仕込むサイバー犯罪も発生しているという。同社ではこれらのセキュリティ問題を調べ、デバイスを保護する方法を確認した。
とくにポケモンGOのゲーム内課金と仮想通貨「ポケコイン」が詐欺の対象となると予想し、すでに詐欺サイトが存在している。これらのサイトでは別にポケコインが配布されるわけではなくサイトオーナーがアフィリエイト報酬を得るだけのものだが、すでに数千のユーザーがクリックしているという。また、無料ポケコインが得られるとしてTwitterやFacebookを通じてメッセージを共有するといったものも見られ、こちらもポケコインが得られるわけでない。
ポケモンGOがまだ限定的な地域公開ということもあって、非公式なサイトからアプリをダウンロードできるところもあり、そこにアプリに偽装したマルウェアを仕込んだものも確認されている。Android用のトロイの木馬が仕込まれたものでは、スマホのアクセス権が完全に掌握される。さらに非公式なポケモンGOアプリだけではなく、スマホが移動しているように見せかけるチートツールなども攻撃者にとってはマルウェアを仕込む絶好の機会だという。
さらにシマンテックでは、ポケモンGOアプリが証明書ピンニングをサポートしておらず、で中間者プロキシを浸かって通信を傍受できる可能性(ユーザーの端末には攻撃できないが、バックエンドAPIの脆弱性発見に繋がる)、ポケモンGOアプリ自体がGoogleアカウントへのフルアクセスなど要求される許可が多すぎることに懸念を表明している。
これらの問題点から見て、シマンテックではいくつかの注意すべき点を挙げている。まず非公式なマーケットプレイスからのダウンロードはしない。チートツールの類は使わない。スマホ本体のファームウェアは最新のものにしておき、適切なセキュリティアプリをインストールしておくことが肝心という。