ESET/マルウェア情報局

顔写真加工アプリFaceAppに便乗した新たな詐欺の手口

2019年08月22日 14時00分更新

　本記事はキヤノンマーケティングジャパンが提供する「マルウェア情報局」に掲載された「顔写真を加工するアプリに潜む詐欺の手口とは？」を再編集したものです。

　ここ最近のFaceAppの人気の高まりは、手軽な収益を得ようとする詐欺師にとって注目の的となっています。

　FaceAppというアプリは、顔写真を加工するさまざまなフィルターを搭載しており、Android、iOSのどちらにも対応しています。アプリは無料でダウンロードできますが、「PRO」という表記のついた機能は有料となっています。また、FaceAppのプライバシー保護に関する問題は、メディアの間で大きな波紋を呼んでいます。

　詐欺師はさまざまな目的で、偽の「Pro」バージョン（だが実際には無料）を使ってこの人気ぶりにあやかろうとしています。現在大人気を博しているこのアプリの架空のバージョンを、世に広めようと躍起になってもいます。この記事を執筆している時点で、Googleで「FaceApp Pro」と検索すると、実に20万件ものページがヒットします。

　実在しない「Pro」バージョンを使った詐欺には、2種類の手口が存在することを確認しています。

偽のWebサイト

　ESETが確認したある手口では、FaceAppの「プレミアム」バージョンを無料で提供すると謳った偽のWebサイトが攻撃に使用されていました。

図1：ある詐欺で使用された偽のWebサイト

　実際には、詐欺師は他の多くの有料アプリインストールや会員登録、広告、調査などをユーザーに表示し、それを巧みにクリックさせようとします。また、さまざまなWebサイトから通知表示の許可を求めるリクエストも届きます。それを許可すると、その通知はさらに別の詐欺へと、被害者を誘い込む仕組みになっています。

図2：別の詐欺へと誘い込む通知がブラウザ上に表示される

　ESETのテストでは、最終的にGoogle Playでも入手可能な通常の無料バージョンのFaceAppへと誘導されました。しかし、図3で示すように、Google Playはファイルソースとして使用されず、人気のあるファイル共有サービス（mediafire.com）からアプリがダウンロードされました。つまり攻撃者が意図すれば、ユーザーは簡単にマルウェアをダウンロードしてしまうこともありうる、ということです。

図3：FaceAppが「FaceApp PRO」と表記され、非公式なソースからダウンロードされる　

YouTubeのビデオ

　2番目の手口はYouTubeのビデオを使うもので、同じく無料のFaceApp「Pro」バージョンをダウンロードするリンクが表示されます。しかし、そのダウンロード用に短縮されたリンクは、さまざまな他のアプリをGoogle Playからダウンロードさせる機能しか持たないアプリへと誘導するものです。図4に示したあるYouTubeビデオは、このブログ記事を執筆した時点で15万回以上も再生されています。

　このような手口は普通、広告を表示する場合にのみに使われますが、上述の短縮リンクを使用して、ワンクリックでユーザーにマルウェアのインストールをさせることも可能です。以前にも、たとえばビデオゲームのFortniteを使って騙そうとした事例がありました。

図4：Android向け「FaceApp Pro」アプリのインストールパッケージ（APK）をダウンロードするリンクを提供するというYouTubeのビデオ

　上述のリンクは9万6000回以上もクリックされていますが、実際にどれだけの数が実際にインストールされたかについては、ほとんどわかりません。ただ、真剣にYouTubeをビジネスに使用している人にとっては、このようなクリック率は、想像すらできないほど高い数値であることも確かです。

図5：上記のYouTubeビデオ表示される偽の「FaceApp Pro」インストールパッケージへのリンクに関する統計

結論

　極めて人気の高いアプリは詐欺師をおびき寄せ、その人気が高まれば高まるほど、被害に遭うリスクは高くなります。流行に乗せられる前に、ユーザーはセキュリティの基本原則を思い起こして、立ち止まることが大切です。

　トピックがいかにエキサイティングであっても、公式ストア以外からアプリをダウンロードしないでください。また、アプリに関する情報（開発者、評価、レビューなど）をできる限り確認してください。特にAndroid環境では、人気のアプリやゲームには必ずと言っていいほど偽物が存在します。幸い、セキュリティについて注意しているユーザーであれば、比較的簡単に偽物と本物を見分けることができます。また詐欺に遭わないための保険として、信頼性のあるセキュリティアプリをモバイルデバイスにインストールしておくと、不本意な結果を回避できます。

IoC（セキュリティ侵害の痕跡情報）

ハッシュ	ファイル名
BB99A60D9F69A18B3D115D615C0E2FBD	Android/ScamApp.BX
BD45B786F58FA155B4ECF102DBF01FB5	Android/ScamApp.BY

[参照元]
FaceAppへの注目が生む、新たな詐欺
https://www.eset.com/jp/blog/welivesecurity/faceapp-spotlight-scams-emerge/

■関連サイト

ツイートする

キヤノンMJ トップへ

この記事の編集者は以下の記事もオススメしています

デジタル
スマホをなくした時、まずなにをするべきか考えておこう
デジタル
巧妙化する標的型メールの見分け方と対応方法
デジタル
macOSやWindowsを狙った珍しいタイプのマイニングマルウェア「LoudMiner」
デジタル
SNS利用時に気をつけるべき危険性を考えてみよう