用心するのはもちろん
公式のアプリストアを利用するように
フィッシング詐欺で使われるメールの文面は、すぐにアクセスしないといけないと思わせるように、至急の対応をうながしたり、危険性を強くアピールしたりする文面が使われたりすることが多い。誘導されるニセのサイトもロゴや文言なども公式を思わせるように作ってあるため、あわてて行動すると、あっさりとだまされてしまう可能性がある。
そのため、メールで送られてきたならメールアドレスは正規のものか、サイトにアクセスをうながされたのならウェブアドレスが正規のものであるかをしっかり確認するような、用心深さが必要になってくる。セキュリティ ソフトウェアを使用し、デバイスや個人情報をフィッシング詐欺(およびマルウェア)の脅威から保護するのも、もちろん重要だ。
また、ニセのアプリを利用するフィッシング詐欺に対しても、ユーザー側で警戒することが大切。公式のアプリストアを利用する(非公式のアプリマーケットは利用を控える)のも鉄則。無意味なアプリ名称、詳しくないアプリ説明、ユーザーレビューがない……など、アプリがあやしく思えたなら、ダウンロードを控えたほうがよいだろう。
今回はMcAfee Blogから、「スマートフォンユーザーを狙うフィッシング詐欺とTimpDoor」を紹介しよう。(せきゅラボ)
※以下はMcAfee Blogからの転載となります。
スマートフォンユーザーを狙うフィッシング詐欺とTimpDoor:McAfee Blog
LINEを、メルカリを、日本郵便を騙る…。今年度に入ってからも、さまざまなサービスを装ったフィッシング詐欺の報告や注意喚起がありました。目に付くのは、スマートフォンのアプリやSMSに目を付けた手口です。そしてスマートフォンを狙ったサイバー犯罪の中でも、フィッシング詐欺は被害事例が後を絶たない手口のひとつです。
フィッシング詐欺の狙いは、多くは金銭です。サイバー犯罪者にだまし取られた個人情報は悪用されて、乗っ取られた銀行口座から不正送金されたり、なりすましメールに使われて別の犯罪の片棒を担がされたり、個人情報そのものがダークウェブで売買されるなどして、“闇”の資金源になっているといわれます。
さらに最近はフィッシング詐欺を用いて、スマートフォンにバックドアを仕込むという手口も登場し、注意してしすぎることはありません。
モバイルユーザーを狙うフィッシング詐欺
フィッシング詐欺は、典型的には詐欺のメッセージをユーザーに送ってオンラインショップや銀行などの偽サイトに誘導し、ログイン情報などの機密性が高い情報を入力させるもの。そのほかSNSからの誘導や、ウェブサイトを閲覧中に「当選しました」のような虚偽のメッセージなどを表示し、景品を受け取るためと称してクレジットカード番号をだまし取るようなパターンもあります。
特にスマートフォンはユーザーの接触回数が多いだけに、格好のターゲットとなっています。宅配便の再配達と称するSMSで偽サイトに誘導したり、ユーザーにインストールさせたアプリから不正サイトに誘導したりと、次々に登場する巧みな手口には驚きを覚えるほどです。
『平成29年情報通信メディアの利用時間と情報行動に関する調査報告書』(総務省)によると、全年代でのスマートフォンの利用率は80%を超え、20代、30代、40代では90%台に達しています。もはやスマートフォンは、現代社会のプラットフォームに近い存在といえるでしょう。その安全を確保するのはいっそう重要なテーマとなっています。
バックドアを仕掛けるTimpDoor
近年のフィッシング詐欺で増加しているのは、虚偽のメッセージで不正なアプリをインストールさせるなどして、スマートフォンにバックドアを設ける手口です。バックドアとは、不正な方法で情報を外部に送信したり、持ち主に気付かれずに外部からの侵入経路を設けたりすることを指します。マカフィーが昨年発見した、Androidを狙ったマルウェアTimpDoorも、このタイプのマルウェアでした。
TimpDoorの場合、サイバー犯罪者はまずユーザーにSMSを送り、興味を引く文言によって偽のボイスメッセージアプリの配布サイトに誘導。この偽アプリをインストールすると、ファイアウォールやネットワークモニタなどのセキュリティー機能を迂回して、外部と通信するバックドアがデバイスにできてしまうというものでした。
TimpDoorの感染は北米中心で、偽アプリは公式ストアのGoogle Playからは発見されませんでした。しかし、今後もこうした手口はより巧妙に潜伏するようになっていくとみられます。日本語のアプリでもこの種の被害が発生・拡大する可能性もあり、警戒したいところです。
「うっかり」クリックせず自衛を
時代に合わせてフィッシング詐欺も進化しています。自衛するためには、まず不審なメッセージにまず気付き、次に、決して誘導に乗らないことです。詐欺メールの存在は広く認識されるようになっているものの、それでもなくならないのは、「好奇心で」「うっかり」クリックしてしまうのも一因でしょう。発信者、文面、リンクのURLなど、少しでも怪しいと思うところがあれば詐欺メールを疑って、そのまま削除するようにしてください。
またアプリをダウンロードするときは、公式ストアを利用し、不審な提供元からのアプリの利用は控えるのが大切です。インストール時に過剰な権限を要求しないかどうかも、不審なアプリに気付くきっかけになるでしょう。
モバイル向けのセキュリティー製品の利用も検討してください。McAfee Mobile SecurityはTimpDoorなどの最新の脅威まで検出可能であるほか、バッテリー使用の効率化やデータ使用量の管理に役立つ機能も搭載しています。
(リンク)
Androidデバイスをバックドアに変えるプロキシ型マルウェア
著者:マカフィー株式会社 CMSB事業本部 コンシューママーケティング本部 執行役員 本部長 青木 大知
※本記事はアスキーとマカフィーのコラボレーションサイト「せきゅラボ」への掲載用に過去のMcAfee Blogの人気エントリーを編集して紹介する記事です。
■関連サイト