セキュリティ被害はあなたの半径1m以内でも起きる 第11回

グーグル「自撮りお願いしまーす」←実はマルウェアだった！

　Photo by Justien Van Zele

　正体を偽ってコンピューターに侵入し、データを盗み出したり、データを消去したりする悪意のあるプログラムを「トロイの木馬」と呼ぶ。最近では、身分証明書付きの“自撮り”まで求めてくるものが存在することをご存知だろうか？

　2016年前半、Android版バンキング型トロイの木馬が、詳細な個人情報を窃取するために正規の金融機関アプリのフィッシング オーバーレイを改良し始めたことをMcAfee Labsが確認した（関連記事）。

　このマルウェアは、バックグラウンドで実行しながら常に特定アプリが開かれるのを待ち、アプリが起動されるとフィッシング オーバーレイを表示する。「（画面）オーバーレイ」とは、アプリ起動中に、別のアプリを画面上に表示する機能のこと。このマルウェアの場合、Google Playをよそおった画面を表示して、クレジットカード番号の入力を要求する。

　そして、被害者の身分証（国が発行する身分証明書、パスポート、運転免許証）の両面を明確かつ判読できる状態で撮影した写真をアップロードするように要求。さらには、身分証明書と一緒に自撮りするように求めてくるという。攻撃者はここで集めた情報を使ってセキュリティーの質問を突破し、被害者の銀行口座に不正アクセスしようとするわけだ。

　スマートフォンやタブレットを狙ったサイバー犯罪は多い。Androidでいえば、Google Playで提供されているいくつかのモバイルゲームが、実際には悪意のあるアプリだったとわかったこともある。気になるアプリやゲームをダウンロードしたいあまり、マルウェアの脅威を忘れがちになるのはよくないことだろう。

　信頼できるサービスのように見せかけ、偽アプリや更新プログラムが公開されている例があった――McAfee Blogの「グーグルでも見抜けない新しいAndroidマルウェアがGoogle Playを狙う」を読んで、セキュリティーへの意識を高めてほしい。

グーグルでも見抜けない新しいAndroidマルウェアが
Google Playを狙う

　物事は必ずしも見かけどおりではありません。たとえば、昨年、Google Playで提供されているいくつかのモバイルゲームが、実際には悪意のあるアプリだったことがわかりました。多くの被害者がGoogle Playがサポートしていたこれらのゲームをダウンロードし、セキュリティー侵害が発生しました。これはよく耳にし、何度も繰り返し発生している攻撃です。そして、この攻撃はモバイルプラットフォーム上でも急激に拡大しており、最近では新しいAndroidマルウェアによって表面化してきました。

　つまりサイバー犯罪者が、フィッシング攻撃（英語）— 信頼できるサービスを装って、ユーザーの個人情報や機密情報を入手する攻撃 — をモバイル環境に適応させているのです（英語）。信頼できるサービスのように見せかけた偽アプリや更新プログラムを開発して公開します。中にはモバイル版が存在しないサービスを偽装することもあります。

　特に多いのが2つのタイプの攻撃です。1つはダウンロード可能なアプリの形をとり、もう1つは条件と合致すれば偽の「更新プログラム」を被害者にプッシュ配信するものです。前者のような悪意のあるアプリは、外見上はまったく問題がないように見えるため、Googleによる厳しい審査システムをくぐり抜け、あたかも正当なアプリであるように偽装します。一方、後者では、悪意のある更新プログラムパッケージを被害者にダウンロードさせるため、正当な権限――今回の場合では、Chromeモバイルブラウザーに対してGoogleが持っている権限――を悪用します。

　では攻撃の糸口はどこにあるのでしょうか。攻撃スタイルごとにその答えが違います。たとえば脅威となる悪意のあるアプリによる偽装では、アプリ単独（英語）では何も害を及ぼしません。その代わり、巧妙に作られた偽の銀行や決済用Webサイトのログインページに誘導して、認証情報を盗み取ります。偽の更新プログラムを伴う脅威は、BGRレポートでも指摘されているように（英語）、実は偽サイトなのに正式な更新プログラムを装うことで、デフォルトのセキュリティーを無効化した被害者を攻撃します。この脅威は被害者のデバイス上にある、既存のあらゆるセキュリティーソフトウェアも無効化します。

　いずれも銀行、アプリストア、主要なソフトウェア会社といった信頼性の高い名称を利用し、サイバー犯罪者がマルウェアの検出をかわす、巧みで恐ろしい方法です。

　このような悪意のあるアプリは、Bitcoinなどの仮想通貨（英語）にオンラインバンキングや決済サービスを使用している人々を標的としていますが、あらゆるモバイルユーザーがこの種の脅威に直面する可能性があります。この種の攻撃は他のアプリへの再攻撃が簡単で、大きな被害をもたらす可能性が高いのです。

　ではダウンロードしようとしているアプリが正当なものであることを確認するにはどうすればよいのでしょうか。以下にいくつかヒントを挙げます。

• 開発者の認証情報を調査すること。Google PlayはAndroidのデフォルトアプリストアで、Androidデバイス用としては最も安全なストアでもあります。それでも悪意のあるアプリが入り込むことがあります。アプリをダウンロードする際は、レビュー内容を読み、ストア内のアプリページの最後に表示された開発者の認証情報を確認してください。
• デフォルトのセキュリティー設定を無効化しないこと。ユーザーがデバイスのデフォルトのセキュリティー設定を変更すると、悪意のあるアクティビティがウイルス検知機能を迂回し、アプリストアに入り込んでしまうことがあります。脱獄（ジェイルブレイク） やルート化など、デフォルトセキュリティー設定を迂回してデバイスをカスタマイズする技術的なアクティビティによって、たとえ機能は追加されても、セキュリティーが犠牲になってしまいます。このような危険を冒すべきではありません。
• 信頼性の高いモバイルセキュリティーソリューションを使用すること。McAfee Mobile Securityのような包括的なセキュリティーソリューションをインストールすることで、iOS（英語）またはAndroid（英語）のいずれを使用している場合でも、サイバー犯罪者の悪質な行為からデバイスを常に保護することができます。

　そして当然ながら、私とマカフィー公式Twitterをフォローし、マカフィー公式Facebookで「いいね！」をクリックして、コンシューマーとモバイルのセキュリティー脅威に関する最新情報を常に入手しておくことも重要です。