ESET/マルウェア情報局
セキュリティーアプリを騙った偽アプリの脅威
本記事はキヤノンマーケティングジャパンが提供する「マルウェア情報局」に掲載されたセキュリティアプリに偽物が存在することを知っていますか?を再編集したものです。
多くのユーザーに普及したスマートフォン(以下、スマホ)であるが、利便性や経済性ばかりが優先され、安全性が後回しになっている感が否めない。また、安全性を考え対策する場合でも、良し悪しはさておき極力「お金をかけず」にできる対策のみで済ませていることも少なくない。今回はスマホのアプリで最近横行する「偽アプリ」、「偽セキュリティアプリ」の存在、脅威について解説していく。
ガラパゴスな状況から一転、インターネットという大海へ
2008年に国内でも発売開始されたiPhoneを契機として爆発的に利用者数が拡大したスマホ。総務省の平成30年版情報通信白書では全世帯の75.1%、すなわち4人に3人が保有しているという数字が公表されている。2010年時点では10%に満たなかったが、今やパソコンの72.5%を上回る。
インターフェースが洗練されていて、特にコンピューターに関する詳しい知識も不要で多くの用途に活用できるスマホは多くのユーザーから支持を得ている。もはやスマホなしでは生活が成り立たないというユーザーもいるほどで、生活の中に深く浸透しつつある。
フィーチャーフォンの時代でも、端末に搭載されていた簡易ブラウザー経由でネット接続をおこない情報を調べる、SNSでコミュニケーションする、音楽・画像等をダウンロードするという行為は頻繁におこなわれていた。ただし、日本国内では携帯キャリア各社の方針もあり、当初は接続するサイトは原則として各キャリアが審査をして許可を受けた「公式サイト」が中心だった。もちろん、「非公式」なウェブサイトにアクセスするユーザーもいたが、パソコン向けに作られていたウェブサイトを閲覧するには画面サイズで難があるものが少なくなく、多くのユーザーは公式サイトを中心にアクセスをしていた。
このような状況を振り返ってみると、時に「ガラパゴスケータイ」などと揶揄されることもあるが、ガラパゴスゆえに外敵にさらされることなく安全を享受できていた時代だったといえる。iモードの登場から約10年が経過し、2010年代に入ると日本のユーザーは大挙してスマホへ乗り換えることとなった。
スマホの普及にともなって「偽アプリ」が横行
各キャリアの管理下で一定の安全が確保されたフィーチャーフォンからスマホへ移行したユーザーにとって、インターネットがどれほど危険なものかを認識することは容易ではなかった。いわば無防備な状態でインターネットという大海を漂っているのに等しく、スマホの普及に合わせてサイバー攻撃の被害者も増大してきている。
iPhoneの場合、基本的にApp Store経由でアプリをダウンロードして利用する。一方、Android端末では公式のGoogle Playが存在するが、ストア外でもダウンロードして利用できる。要するに、Googleの目が届かないところにアプリを置き、配布できてしまうのだ。さらにいえば、公式ストアであるGoogle Playの審査はAppleよりも厳しくない。そのため、Android端末はアプリをインストール時には、注意する必要がある。こうした仕組みの違いがそれぞれのOSを搭載する端末で被害者数が異なる状況を生み出している。
審査の厳しいApp Storeを擁するiPhoneでは偽アプリが出回ることはAndroid端末と比較すると多くはない。一方で、Androidアプリは偽アプリのニュースに事欠かない。最近では金融系アプリを偽装したものの存在が大きな話題となった。
世界中のユーザーを狙った不正ファイナンスアプリがGoogle Play上に
https://eset-info.canon-its.jp/malware_info/special/detail/181106.html
諸外国と比較すると、日本のユーザーはiPhoneを利用している比率が高い。しかし、iPhone X以降の端末価格上昇などを背景に、Android 端末に移行するユーザーも着実に増えつつある。操作性やインターフェースなどもiPhoneと遜色ないレベルまで改善が進んでいることも、この状況を後押しするだろう。
偽アプリはセキュリティアプリにも
サイバー攻撃者は基本的に「費用対効果」を意識して行動する。無差別に行動して対価を得られなければ、自身にとって罪を犯すリスクにしかならないからだ。彼らは犯罪というリスクをとり大金を狙うため、リスク低減と効率性を重要視する。アプリを使っての犯罪でもこの原則があてはまる。偽アプリとして出回るものには主に3つのパターンがある。
1)アプリとして人気があり、多くのダウンロード数が期待できる
2)制作の手間が多くないが一定のダウンロード数が見込める
3)アプリ経由で重要な情報や金銭のやりとりがおこなわれる
先述した「金融系アプリ」は3つ目のパターンに該当する。また、2つ目に該当するものとして、バッテリー管理やメモリー最適化アプリなどがある。この場合、端末の奥深くに潜入して不正な活動をおこなうような高度なアプリも存在する。厄介なのはこういったアプリの場合、見た目や動作は普通のアプリと変わりがないため、ユーザーは見抜くことができないことだ。
Google Playに今なお潜伏し続けるバンキングトロージャン
https://eset-info.canon-its.jp/malware_info/special/detail/181122.html
そして最近では、セキュリティ関連のアプリでもこうした偽アプリが出回り始めている。実はiPhoneの場合、基本的にはセキュリティアプリを利用する必要がない。というのは先に挙げたApp Storeの厳格な審査に加え、技術的な面でも対応がされていることによる。iPhoneでは「サンドボックス(砂場)」と呼ばれる隔離された領域にアプリがインストールされる。原則、インストールされたアプリはサンドボックス外へアクセスできない仕組みになっているので、悪質なアプリによるOSファイル改ざんなど不正な行動を防止できるのだ。
一方、Android端末はiPhoneのような仕様となっていない。そのため、セキュリティアプリのインストールが推奨されるが、そのセキュリティアプリに偽装したものが出回っているので悩ましい。最近のメディアなどでの報道を受け、ユーザーのセキュリティ意識は高まっている。そうした世の中の動向を一歩先回りして、サイバー攻撃者は偽アプリで待ち構えているのである。
偽セキュリティアプリとは?
スマホ向けのセキュリティアプリの機能は一般的には大きく以下4つに集約される。
1)端末に悪影響をもたらすアプリの検知、排除
2)悪意あるウェブサイトへのアクセス防止、ネットワーク(フリーWi-Fiなど)の検証
3)紛失・盗難時の対策(データ保護、端末位置確認)
4)ペアレンタルコントロール(好ましくないサイト閲覧などの防止、ゲームアプリの時間制限など)
これらをセットで提供しているアプリもあれば、機能単体で提供しているものもある。このうち、偽セキュリティアプリとして提供されるものの多くは機能単体で無料にて提供されている。無料で必要な機能のみインストールできることはユーザーにとって喜ばしいことだが、アプリの提供者も何かしらの「対価」を受け取っているはずだ。その対価が広告表示のようなシンプルなものであればよいが、ユーザーの見えないところで何かしら不正な動きをしている可能性も否めない。
もしくはインストールさせることだけが目的で、いざアプリを利用してみると、まるで使い物にならないようなものもある。ユーザーにとってはせっかくダウンロードしてインストールしたにもかかわらず、利用価値がなければ手間損ということになる。なぜこのような使い物にならないアプリが出回っているのか。提供する側のメリットも考えてみてほしい。以下の記事では具体的に偽セキュリティアプリの使えない「疑似機能」を解説している。
35種類ものAndroid向け偽装ウイルス対策アプリが発見される
https://eset-info.canon-its.jp/malware_info/special/detail/190110.html
「タダより高いものはない」ことを強く認識してほしい
一般的に、アプリ制作は多くの開発者によっておこなわれる。そのため、多額の人件費を要する。また、増殖著しいサイバー攻撃、マルウェアの手法を分析して対処策を講じるためにも必要なスキルを持った人員が必要となる。多くのセキュリティソフトが有料で提供されているのにはそういった背景がある。ユーザーにとって有益なものは原則、有料と考えたい。
一方、一部では無料かつ一定のセキュリティ機能を担保するようなものも確かに存在する。その場合、アプリ内で表示される広告収入かアプリ運用を通じて入手するユーザーデータを元に収益化しているはずだ。無料のアプリをダウンロードする際は提供者にとってのメリットを考え、提供元の信頼性が確保されてからおこなうことは忘れないでほしい。
そしてアプリの中には、正常なアプリを装っていながら、ある日突然、悪意あるソフトウェアに豹変するものもある。インストール直後に正常な動作をしていれば問題ないとみなし、アプリの存在自体をユーザーは忘れがちとなる。その緩みを攻撃者は狙っているはずだ。
アプリを制作、運用するからには何かしらのメリットを得るためにおこなっている。原則としてユーザー側も得られるベネフィットは投じるコストとトレードオフにあることを忘れるべきでないだろう。もちろん、必ずしも有料のアプリである必要はない。しかし、その領域でユーザーから利用料を受け取って専門的にビジネスをおこなっている会社はサービス品質が生命線となる。そのため、ユーザーの被害防止を第一に考え運営していることにも目を向けておきたい。
今やスマホは日常生活と切り離せないツールになっている。多くの重要情報が詰め込まれ、金銭の支払いまで可能となっている。その重要なツールを不正利用から防ぐために、どういう選択肢をとるべきかをよく考え判断してほしい。