is702
動画再生アプリを装う不正アプリも!? 

国内スマホユーザを狙う脅威の実態と対策

2016/07/21
動画再生アプリを装う不正アプリも!? 国内スマホユーザを狙う脅威の実態と対策

スマホはパソコンと同様、さまざまなネットの危険にさらされています。たとえば、スマホユーザを不正サイトへ誘導し、情報や金銭をだまし取ろうとするネット詐欺は代表的な脅威です。端末内の情報を盗み出したり、ユーザが望まない広告を表示したりする不正アプリ、いわゆるスマホのウイルスにも注意が必要です。スマホを取り巻く脅威の最新動向と対策を見ていきましょう。

スマホユーザを狙うネット詐欺に注意

スマホはいまや日常生活に欠かせないアイテムの1つですが、パソコンと同じようにさまざまなネットの危険にさらされていることを覚えておかなくてはなりません。

ネットの危険の代表的なものが、詐欺サイトです。たとえば、成人向けサイトの年齢確認ボタンや画像などをタップしたユーザに対し架空請求メッセージを表示し、金銭を支払わせるワンクリック詐欺サイトはその1つ。実在する企業やサービスをかたる本物そっくりのWebサイトにユーザを誘い込み、そこで入力させた情報を盗み出すフィッシング詐欺サイトもその典型です。

図1:ワンクリック詐欺サイトの例

図2:フィッシング詐欺サイトの例

トレンドマイクロは、不正サイトへ誘導された国内モバイル利用者数が増加傾向にあることを明らかにしています。2016年3月は11万8,000人、4月は17万人、5月は13万8,000人に上り、3カ月連続で10万人を超える国内モバイル(スマホ・タブレット)利用者が不正サイトへ誘導されたことがわかりました。

図3:不正サイトへ誘導された国内モバイル利用者数推移(トレンドマイクロSPNによる)

サイバー犯罪者は、スマホユーザを不正サイトに誘い込む手段として、メールだけでなく、TwitterやFacebookなどのSNSやLINEを悪用しています。たとえば、Facebookでは、何らかの方法でアカウントを乗っ取ったサイバー犯罪者が友人の名前をタグ付けした写真などを投稿・拡散し、それをクリックしたユーザを不正サイトへ誘い込む手口が定番化しています。また、FacebookのメッセンジャーでHTMLファイルを送りつけ、それを開いたユーザを不正サイトへ誘導する手口も確認されています。サイバー犯罪者は、友人の投稿やメッセージに警戒を解いてしまうユーザの油断を突いてくるのです。

図4:アカウント乗っ取り後、ユーザを不正サイトへ誘導するFacebook投稿の例

人気アプリを装う不正アプリにも注意

不正アプリ(スマホウイルス)もスマホを取り巻く脅威の1つです。不正アプリは、スマホに侵入して不正活動を行うアプリの総称です。スマホ内の情報を盗み出そうとするものや、ユーザが望まない広告をしつこく表示するもの、ネットバンキングの認証情報をだまし取ろうとするものなど、さまざまなタイプの不正アプリが存在します。

Android端末を狙う不正アプリは、2015年12月に累計1,000万個を突破し、その後も増加し続けています。そして、これまでほとんどがAndroid端末を対象にしていた不正アプリは、iPhoneもターゲットに加えています。トレンドマイクロは、iOS(iPhoneのOS)の脆弱性(セキュリティの穴)を悪用し、すでに端末にインストールされている正規のアプリを不正アプリに置き換える攻撃を確認しました。

不正アプリの主な侵入経路は、サイバー犯罪者が用意した不正サイトです。たとえば、広告などをタップしたユーザの端末上で偽のセキュリティ警告画面を表示し、ウイルス駆除の名目で不正アプリをインストールさせる手口が定番になっています。また、画像の表示や音楽・動画の再生、メッセージのやり取りに必要なアプリを偽装して不正アプリをインストールさせる手口もよく見られます。やっかいなのは、人気アプリを装う偽アプリです。これは、人気アプリとよく似たタイトル名やアイコン、説明文などを用いることで本物を装う不正アプリです。たとえば、Androidの公式マーケットGoogle Playのサイトデザインそっくりに作り込まれた不正サイトから偽アプリをダウンロードさせる手口が確認されています。

図5:偽のウイルス検出画面を表示させ、アプリのダウンロードに誘導する手口の例

スマホの脅威を回避する3つのポイント

メールやSNSのリンクを不用意に開かない

サイバー犯罪者は、さまざまな誘い文句でメールやSNSの投稿・メッセージのリンクをクリックさせ、ネット詐欺を働くための不正サイトへ誘導しようとします。どんなに興味をそそる内容でも安易にリンクをクリックしてはいけません。
また万一不用意にサイトを開いてしまった場合は、次なるアクションを行うことなく速やかにページを閉じてください。

参考:スマホはパソコンよりも安全!?

OSやアプリは随時更新する

OSやアプリの脆弱性を悪用し、すでに端末にインストールされている正規アプリを不正アプリに置き換える攻撃が確認されています。OSやアプリを常に最新バージョンに保ちましょう。

アプリ入手時は公式マーケットを利用する

不正アプリの多くは、身元不明の業者が運営する非公式マーケットで配布されています。アプリを入手する際は、Google PlayやApp Store、各通信事業者が運営する公式のアプリマーケットを利用しましょう。

参考:スマホアプリ導入時は公式マーケットを利用しよう

これらの点に注意しながら、安全にスマホのネット利用を楽しみましょう。

  • セキュリティーレポート メルマガ会員募集中 is702の最新コンテンツを月2回まとめてお届けします。
  • トレンドマイクロ is702 パートナープログラム
  • トレントマイクロ セキュリティブログ
セキュリティーレポート メルマガ会員募集中 is702の最新コンテンツを月2回まとめてお届けします。
トレンドマイクロ is702 パートナープログラム
トレントマイクロ セキュリティブログ