Google Play ストアで、30万人以上のユーザがオンライン バンキング用のトロイの木馬アプリをダウンロードしていたとニュースで流れていたことを記憶されていた方も多いかもしれません。このアプリは、Google Play ストアのセキュリティ検出機能を回避してマルウェアをインストールするように設計された悪質なアプリです。
セキュリティ レポートによると、このトロイの木馬は、QR コード スキャナやフィットネス アプリなど、一般的なユーザーがよく検索するアプリを巧みに装っていることがわかりました。このようなトロイの木馬には、口座情報を盗み出したり、口座番号を入力する際のキー ストロークを収集したり、スマートフォンで操作を行う際のスクリーンショットを撮影したりするように設計されているものがあります。
このようなマルウェアの特徴は、スマートフォンにインストールした後に起動するように設計されています。マルウェアは、Google Play ストアにアクセスしただけでは起動しません。そのため、、アプリ内でのアップデート処理などの余分なステップが必要になり、マルウェアのペイロードがスマートフォンにダウンロードされることになります。不正なアプリをダウンロードすると、こうしたアップデート処理を促す画面が表示される場合があります。
Google Play ストアに表示されるアプリにはマルウェアが含まれていなくても、アプリの購入後に別のサーバーからユーザーのスマートフォンにペイロードが送信されることがあるため、不正なアプリかどうかを判断するのが難しくなっています。
これは、ハッカーがスマートフォンをマルウェアに感染させるために考案した方法の 1 つにすぎません。
サイバー犯罪者がスマートフォンを標的にするのは不思議ではありません。スマートフォンにはネットバンキングのアプリや決済アプリの認証情報に加えて個人情報や写真が保存されており、これらはすべて身代金の要求に利用できます。カメラ、マイク、GPS など、強力な機能が組み込まれているスマートフォンが侵害されると、ハッカーは以下を行う可能性があります。
- ユーザーの現在地や日常的な移動を傍受する。
- ソーシャルメディア、ショッピング、金融機関のアカウントのパスワードを乗っ取る。
- App Store での購入や決済アプリの使用によってウォレットを使い切る。
- ユーザーのテキスト メッセージを読んだり写真を盗んだりする。
このような状況は歓迎できるものではありません。
では、こうした不正な悪質なアプリは具体的にどんなことをするのでしょうか。正規のアプリを装ってユーザーのスマートフォンに侵入し、ファイル、写真を含め、各種機能にわたって強力な権限を獲得したり、サイバー犯罪者が個人情報を収集するためのコードを忍び込ませたりします。その結果、ポップアップ広告の氾濫や、金銭的被害をもたらすアイデンティティ盗難など、さまざまな問題を発生させます。
以下に悪質なアプリの最新事例をいくつかご紹介します。
- 偽の広告ブロック プログラム: 広告をブロックすると見せかけて、実際には広告を表示します。
- 偽の VPN アプリ: 契約料金が課金されるにもかかわらず、保護機能は提供されません。
- ユーティリティー アプリ: さらに攻撃しやすくするため、システムの権限を乗っ取ります。
このような状況も歓迎できるものではありません。このような悪質なアプリを回避する方法を考えてみましょう。
モバイルアプリをより安全にダウンロードするための 7 つの手順
ただしこのような偽のアプリは見分けることができます。Google Play や Apple App Store などの主要なアプリ マーケットプレースは、個々に対策を講じてマルウェアの侵入を防止しています。詳細については、Google のサイトと Apple のサイトを参照してください。一方、サイバー犯罪者はこれらの対策をかいくぐって侵入しようとします。(これらの試みを止めることはほとんど不可能です)。ユーザーが少し注意することで、セキュリティを強化することができます。具体的な方法を紹介します。
1) アプリの権限に注意する
サイバー犯罪者がデバイスに侵入する方法として、位置情報、連絡先、写真などへのアクセス権限を入手するという方法があります。サイバー犯罪者は不正なアプリを使用して、こうしたアクセス権限を入手します (例えば、無料の懐中電灯アプリ詐欺では、オーディオやビデオを録画するための権限や連絡先にアクセスするための権限など、最大で 70 件を超える権限が要求されています)。アプリをインストールする際は、アプリがどのような権限を要求しているのかを十分注意する必要があります。カメラやマイクへのアクセスを要求するようなゲームアプリと異なり、予想を超える数の権限を要求している場合は、詐欺である可能性があります。このようなアプリは削除し、大量の権限を要求しない正規のアプリを見つける必要があります。
アプリをダウンロードする前に、アプリがどのような権限を要求しているのかを確認することもできます。Google Play でアプリのリストを下にスクロールし、[About this app] (このアプリについて) を見つけます。[App permissions] (アプリの権限) をクリックすると、情報のリストが表示されます。iOS App Storeでは、[App Privacy] (アプリのプライバシー) を下にスクロールし、[See Details] (詳細を表示) をタップすると、同様のリストが表示されます。すでにスマートフォンにインストールされてアプリについても、どのような権限が必要になるのかを確認することができます。iPhone ユーザーが権限の許可と拒否を行う方法についてはこちらを、Android ユーザーが権限の許可と拒否を行う方法についてはこちらを参照してください。
2) アプリ内でのアップデートを促すアプリに注意する
ゲームなど一部のアプリでは、アプリ内でコンテンツをダウンロードすることがありますが、アプリ内で直接、即時アップデートを促すアプリには注意が必要です。ほとんどの場合、ストアからダウンロードしたアプリは最新のバージョンになっているため、アップデートの必要はありません。同様に、アプリ自体をアップデートするのではなく、アプリ ストア経由でスマートフォンをアップデートすることにより、こうしたマルウェアによる攻撃を回避することができます。
3) 批判的な視点で確認する
多くの攻撃がそうであるように、サイバー犯罪者はユーザーが疑念を持たずにリンクをクリックしたり、ダウンロード ボタンをタップしたりすることを期待します。アプリをダウンロードする前に簡単な調査を行うと、不審な点を見つけられる可能性があります。開発者がほかにもダウンロード可能なアプリを提供していないかどうか、レビューの評価は良いかどうかを確認します。正規のアプリには通常、多数のレビューが掲載されますが、悪質なアプリには (偽の) 5つ星レビューはあまり掲載されません。最後にアプリの説明文とスクリーンショットの両方に誤字脱字や文法の不備がないかを確認します。これらはハッカーがアプリを適当に作ってすぐに配布した証である可能性があります。
4) 信頼できるソースのおすすめ情報を参考にする
自身でユーザー レビューを調べるよりもさらに確実な方法は、信頼できるソース (有名な出版社、署名なアプリ ストアの編集者など) のおすすめを確認することです。これにより、調査のほとんどを信頼できるレビューアーが代行してくれることになります。「フィットネス向けベストアプリ」、「旅行者向けベスト アプリ」などでオンライン検索を行い、正規のサイトの記事を確認します。そうすることで、アプリをダウンロードする前に、有益なオプションや詳しい情報を検討できます。
5) サードパーティのアプリ ストアを使用しない
Google Play や Apple App Store は、アプリの安全性を入念に審査・確認していますが、サードパーティのサイトではそのようなプロセスが確立されていません。実際、サードパーティのサイトの中には、大規模な詐欺の一環として悪質なアプリを意図的に掲載している場合があります。サイバー犯罪者は Google や Apple の審査プロセスを回避する方法を見つけている可能性はありますが、Google Play や Apple App Store では、どこよりも安全にアプリをダウンロードできます。また、Google と Apple は悪質なアプリを発見するとすぐに削除し、ストアの安全性を高めています。
6) セキュリティ ソフトウェアを使用してスマートフォンを保護する
スマートフォンにはパソコンやラップトップと同様にセキュリティ ソフトウェアをインストールすることが重要です。総合的なセキュリティ ソフトウェアを使用してすべてのデバイスを保護することも、Google Play または Apple iOS App Store でセキュリティアプリを購入して、スマートフォンをマルウェアから保護することもできます。
7) スマートフォンのオペレーティング システムを更新する
セキュリティ ソフトウェアのインストールに加えて、スマートフォンのオペレーティング システムを最新の状態に保つことも重要です。更新は信頼できる保護対策です。サイバー犯罪者がマルウェア攻撃を行う際に利用する脆弱性を修正できます。これにより、ユーザー自身の安全性を保護できるだけでなく、スマートフォンを最高の状態に保つことができます。
モバイル マルウェアを常に警戒する
その他のポイントをいくつかご紹介します。
- スマートフォンを監視します。モバイル マルウェアの侵害は特定できる場合があります。スマートフォンが熱くなったり、パフォーマンスが低下したりした場合は注意する必要があります。
- アカウントを定期的にチェックします。詐欺やアイデンティティ盗難に遭った場合は、明細/決済アプリやネット バンキングのアプリに記録が残ることが少なくありません。不審な記録を見つけたら、追跡して報告する必要があります。
- 総合的なセキュリティ対策の観点から判断するようにしてください。自身の名前でアパートが借りられているなど、思いもよらないアイデンティティ盗難の被害を発見できる場合があります。
最後に「このアプリは本当に必要かどうか」を自問します。ダウンロードするアプリの数は少なければ少ないほど、悪質なモバイル アプリをダウンロードするリスクは低くなります。無料ゲームを信頼できるかどうかわからない、生産性向上アプリの特典が良すぎるなど、不審な点がある場合はダウンロードしないでください。他のアプリを探すか、ダウンロードすること自体を中止する必要があります。前述のように、サイバー犯罪者はユーザーが疑問を持たずにクリックしたりダウンロードしたりすることを期待します。モバイル マルウェアの警戒に要する時間はわずかです。最低限の時間をかけることで、スマートフォンのハッキングや被害コストの発生を回避できます。
最新情報を入手する
フォローして、マカフィーに関する最新情報を取得して消費者やモバイルのセキュリティ脅威について理解しましょう
