ESET/マルウェア情報局
詐欺アプリの脅威から身を守る8つの対策
本記事はキヤノンITソリューションズが提供する「マルウェア情報局」に掲載された増加する詐欺アプリの脅威から身を守るには?を再編集したものです
広告会社やアプリ開発企業が騙すような手口を使うことは今に始まったことではない。ルーカス・ステファンコ (Lukáš Štefanko)が執筆記事で明らかにしたタッチIDを用いた詐欺は、ユーザーに大きな衝撃を与えるには十分だった。もちろん、iOSユーザーのみがこのようなジレンマに直面するわけではない。ルーカスが2018年の初頭に書いたように、Androidユーザーもまたこれらアプリの謀略に組み込まれている。このような詐欺行為から我々はどうすれば自分自身を守ることができるだろうか。
アプリストアの審査プロセスの限界を認識すること
主要なアプリストアにおけるポリシーや審査プロセスがあることで、多数の詐欺アプリは排除されている。一方で、この問題に対処するためにアプリストアがやるべきことはまだまだ数多く残されており、我々ユーザー側も常に学習をしていかねばならない。
主要なアプリストアは日々数えきれないほど多くのアプリや更新を受け取っているため、新たに申請されるアプリの審査作業はほぼ自動化されている。つまりアプリには、人による確認を経ず、個別にテストされていない機能が含まれていることがあるということだ。この事実は我々自身がアプリの利用に際し、十分な注意を払うことが重要であるのを示唆している。
ユーザーの評価を確認する
多くの詐欺アプリには、非常に多くの高い評価が含まれているが、これらはサクラである可能性が高い。言葉遣いが非常にあいまい、明らかに意味不明な文章、似たような評価が散見されるなどの傾向がある。例えば、同じ言い回しを使った評価が複数存在する、似たようなユーザーネームが並んでいる、といった具合である。より公正にアプリを調査するために、評価のランキングでオプション設定を利用するという方法もある。アプリストアによっては、「最も参考になった」とされているものや「低評価」などの条件で評価をソートできるものもある。
時間を置き、他人の評価を参考にする
アプリが詐欺を働くものかどうかを確認するためにベストなタイミング、それはダウンロード前である。せっかく見つけたアプリをダウンロードしたい衝動に駆られるだろうが、ほかのユーザーが実験台としてそのアプリを試すまで、数日もしくは数週間待ってみるといい。このように時間を置くことで、アプリをダウンロードするか否かを決める前に、他人がアプリについてどのような評価をしているか確認することができる。
すでに知っていて、信頼できる開発者のアプリのみ使用する
可能ならば、評判の良いアプリ開発者のアプリのみに利用を限定するのというのも一考に値する。しかし、どうしても知らない開発者のものをダウンロードするならば、まずは開発者について調べることをおすすめする。その場合、その開発者が現在ダウンロード可能で、非常に評価の高い人気のアプリをすでに開発しているかどうかを調べてみるといいだろう。
端末の機能を正しく理解する
日頃からさまざまな端末の最新情報をキャッチアップし続けるとなるとハードルが高いが、少なくとも自分の使用している端末の機能については多少なりとも理解しておくべきだろう。例えば、アプリは指紋データにアクセスはできず、過去に登録された指紋と照合し「イエス」か「ノー」の判断を下すだけである。つまり、アプリではスキャンした指紋をカロリーデータや栄養情報、どのくらい水を飲むべきかなどアドバイス提供のために利用することはできない。また、そのユーザーの先祖を遡って調べたりすることもできない。(念のために付け加えると、仮にアプリが指紋データにアクセスできたとしても、スキャンした指紋データからこういったことに関する本当に重要な情報を得ることはできない。)
例えばQRリーダーや懐中電灯の機能を有するアプリをすでに持っているなら、新しくこれら機能を持ったアプリをインストールするのはおすすめしない。これらアプリは過去にも問題となっている。そのほかにも、メール閲覧アプリやインターネットブラウザーなどのような、初期状態でも組み込まれているアプリとはまったく異なるアプリを求めている場合、まず第三者による評価を必ずチェックし、どのアプリの評価が高く、人気があるかを確認するところから始めるべきだろう。
丹念に調査を重ねる
詐欺アプリの兆候を示す情報を見出すために確認できる項目は多岐にわたる。アプリ開発者が別のアプリを提供しているか、そしてそのアプリの評価の内容など。信頼できるウェブサイトがあり、連絡先が掲載されているか。アプリ名やアプリ開発者の氏名と「詐欺」というキーワードで掛け合わせて検索した際の検索結果。サブスクリプションの有無、アプリ内で発生する可能性のある料金について第三者の情報を確認できるか(アップル社は、アプリ記述欄で後者の情報を提供しているかもしれない)。そのアプリは、無料の試用期間や割引を提供しようとしているかどうか(ただし、これらの詐欺は金銭の損失以上に代償が大きい場合がよくあるので注意)。こうした項目を念入りに調査することで見えてくることがあるだろう。
返金を要求し、詐欺アプリを報告
すでに詐欺と判明したアプリをダウンロードしてしまった場合は、アプリストアや支払いカードの引き落とし銀行に返金を求めること。購入がサブスクリプション形式の場合、もっと複雑になる可能性があるが、時間と手間をかけてでもその手続きを踏む価値はある。そして、アプリストアにも詐欺アプリの報告をして、評価に自分の経験を掲載しておくとよいだろう。
「ダークパターン」に対処する
我々は好ましくない動作をするソフトウェアに対して購入やサポートをしないという選択を過去におこなうことで、プライバシーやセキュリティを十分に考慮しない、データ窃取や問題のある行動を引き起こす、といった企業を排除してきた。しかし、最近ではより一層注意してかからなければならないものもある。それは不審な動作をユーザーに気づかせず、ひっそりとおこなう手口が増えてきているからだ。
「ダークパターン」と呼ばれる手口では、通常であればおそらくクリックしないところを、ユーザーインターフェイスを巧みに利用して誘導したり、感情に訴えかけたり、と思わずクリックしてしまうようなシナリオを描く。Fitness Balanceアプリの場合、iPhoneやiPadのホームボタンに二つの機能がある点をうまく利用した。指がスクリーンのオプション選択にも使用できるような状態で(指紋)センサーに置かれている場合である。新しいiPhoneでは、これらの操作には二つのステップの動作が必要である。指紋スキャン後、オプションを選択する前に、センサーからしばらく指を離さなければならない。
ダークパターンによっては、我々が盲目的になっている可能性を利用することや、気づかせないようにすることで判別が困難になっているものがある。
以下に、詐欺を働こうとするアプリ制作者によるユーザーインターフェイスの落とし穴の例を挙げてみる。
・「承認」ボタンは大きく、よりわかりやすくなっているものだと捉えがちである
・困っているときやイライラしているときは、決定を急ぐ傾向がある
・邪魔なものを片付けようと思っているときは、スクリーンをあまり注視しない可能性がある
・多くの文化圏において赤は「止まれ」、青は「進め」を示すと考える
・特定の場所に「閉じる」ボタンが表示されているものだと考える
・ボタンは意味がわかりづらい表記になっていることがある
心理的なコントロール配下にある場合、罪悪感を持たせる、選択変更を躊躇させるような確認ダイアログを提示するといった手口もある。そこで我々は迷いを抱くことになるだろう。不必要に恐怖心を煽らず、あたかも正しい警告のような内容ならばどうだろうか。その場合、我々自身の解釈に基づき判断せざるをえない。その判断の結果がどうあれ、我々はソフトウェアの開発者に対し、恐怖や、不確実性、疑念に駆られずに利用できることを要求していると伝えることができるだろう。
[引用・出典元]
How to protect yourself as the threat of scam apps grows by Lysa Myers 14 Dec 2018 - 11:58AM