Skip to content

セキュリティマガジン TREND PARK

狙われるモバイル端末 - 不正アプリの実態と対策

Android™端末をターゲットとする不正アプリや標的型攻撃から守るには


それでは、サイバー犯罪者はどのような手法で端末にこのような不正アプリを忍び込ませようとしているのでしょうか。2012年上半期の傾向からみると、海外では、人気ゲームなどの正規アプリをうたって不正アプリをインストールさせる手口が主流でした。実際に、人気ゲームアプリ「Angry Birds Space」や、写真共有アプリ「Instagram」などに見せかけ、プレミアムSMSを悪用して金銭的利益を得ようとする偽アプリが確認されています。

一方で日本国内では、便利ツールに見せかけて不正アプリをインストールさせる手口が増えています。これらの手口では、主にまずスパムメールが使われています。「太陽光で充電できる」「バッテリーの消費量を抑えられる」「電波を改善できる」などの文言でメール受信者の興味を引き、リンクから不正アプリのダウンロードサイトへ誘導します。誘い文句に釣られてインストールしてもそのような機能を得ることはできず、「お使いの端末は未対応のためご利用いただけません」などと表示された裏で、個人情報や電話帳の連絡先データを盗み取る機能だけが動作するのです。

モバイル端末も持続的標的型攻撃のターゲットに

スマートフォンやタブレット端末が広く普及し、個人で利用するだけでなく、企業の従業員がビジネス情報を扱う際にこれらのデバイスを活用する機会も増えてきました。このように環境が変化する中でサイバー犯罪者は、企業内部の情報資産を盗み取ることを目的とした攻撃の対象として、従業員が利用するPCだけでなく、スマートデバイスもターゲットに加えようとしています。

2012年8月、トレンドマイクロは、日本の企業・組織を標的とする特定の持続的標的型攻撃を継続的に監視する中で、攻撃用インフラにAndroid端末を対象とする2種類の不正アプリが存在することを確認しました。これらの不正アプリは遠隔から不正なコマンドを受信して実行するバックドアとして機能し、攻撃者が感染したモバイル端末へアクセスすることを可能にするものです。これらの不正アプリのコードを解析したところ、端末上の重要な情報にアクセスして取得した情報を外部に送信したり、新しいバージョンの不正プログラムをダウンロードしたりする機能を備えていることがわかりました。2012年7月の時点では、機能の一部が完成に至っておらず、実証実験段階と認められますが、サイバー犯罪者たちは持続的標的型攻撃を仕掛けるためにスマートデバイスをターゲットとして狙い始めていると言えます。

具体的に、サイバー犯罪者はどのような攻撃を仕掛けてくると予想されるでしょうか。PCを狙った過去の攻撃の傾向から、たとえば、ターゲットの従業員に電子メールを送りつけ、そこに記載したURLをクリックさせて不正アプリに感染させる手口が考えられます。この攻撃では、人の心理や行動のすきを突くソーシャル・エンジニアリングを用い、メールの件名や本文、差出人を偽装してあたかも業務上の連絡事項を装ってくる可能性もあります。モバイル端末を利用するうえでも、PCを利用する際と同様に注意が必要です。

国内において、Android端末ではOSやアプリの脆弱性を突いて端末のルート権限を取得し、情報を抜き取るような高度な動きをする不正アプリはまだ確認されていません。現状、モバイルセキュリティに対するユーザの意識がまだ低く、サイバー犯罪者はそれほど手をかけなくても攻撃を成功させることができるためです。ユーザのセキュリティ意識が高まるにつれ、脆弱性を突くことでWebサイト閲覧をきっかけに不正プログラムを次々とダウンロードするドライブ・バイ・ダウンロードなどの高度な攻撃が仕掛けられる可能性もあります。

モバイル端末にもPCと同等のセキュリティを

これまで述べたように、モバイル端末の普及に伴い不正アプリが増加しており、今後PCと同様に高度な攻撃の対象となることが予測されます。このような中、攻撃から身を守るためにどのようなことに注意すればよいでしょうか?

まず、Android端末を狙った不正アプリから身を守るために押さえたいポイントとして、1つはAndroid端末の設定を再確認することです。まずは、端末の「設定」から「提供元不明のアプリ」のチェックが外れていることを確認し、GooglePlayやプロバイダなどの信頼できるマーケットからのみアプリをインストールする環境を整えてください。通常、Android端末の出荷状態でチェックは外れていますが、過去に非公式マーケットからアプリをインストールしたときに設定を変更したまま放置している可能性もあります。また、Wi-Fiの自動接続を無効にし、認証を経ることなく接続できてしまう無料のWi-Fiスポットを利用しないようにしましょう。だれもが利用できるオープンなWi-Fiスポットをむやみに利用していると、悪意のある第三者によってネットショッピングの際に必要なクレジットカード番号や暗証番号、SNSのアカウントなどを不正取得されてしまう恐れがあるためです。Androidでは「設定」から「無線とネットワーク」を経て、「Wi-Fi」のチェックボックスを外すことで自動接続を回避できます。

また、アプリをインストールする際に表示されるアクセス権限の一覧を確認し、要求される権限がアプリ本来の機能を実現するために必要かどうかを見極めることも重要なポイントです。たとえば、写真アプリがAndroid端末のカメラ機能を利用するのは妥当ですが、電話帳に登録された連絡先データへのアクセスも要求する場合は「怪しい」と疑問を持つことが重要です。このような怪しげなアプリをむやみにインストールせず、必要な権限だけを求めるアプリが他にないか探してみてください。レビューの数や内容をチェックしたり、開発元を検索したりすることも重要です。評判を見ればインストールの可否を判断する指標になります。ただし、サクラがあたかも評判の良いアプリを装う書き込みをしたり、開発元を偽ったりするケースもあることを覚えておきましょう。

上記でアプリインストール時の注意点をいくつか紹介しましたが、実際には一般ユーザがアプリに許可する権限の一覧を見て危険かどうかを判断するのは簡単ではありません。アプリの危険度を判断する際には、モバイル端末向けのセキュリティソフトを活用するのが効果的です。たとえば、トレンドマイクロの「ウイルスバスター モバイル™ for Android™」は、インストールしようとするアプリの安全性を事前にチェックし、アプリが情報を漏らしてしまう可能性のある場合に警告画面を表示してくれるプライバシースキャン機能を搭載しています。また、インストール済みのアプリを手動でチェックし、Android端末にどのようなリスクが内在しているかも教えてくれます。

この機能は、「Trend Micro Mobile App Reputation(MAR)」というアプリケーションを分析するトレンドマイクロの技術を用いて、導入しようとするアプリがAndroid端末内のどのような機能や情報にアクセスする可能性があるかを確認しています。アプリの危険性を「低」「中」「高」「なし」の4段階で示してくれるので、アプリをインストールするべきかどうか判断するのに非常に有効です。

図2.「ウイルスバスター モバイル for Android」による
アプリの危険性判定

「ウイルスバスター モバイル for Android」によるアプリケーションの危険性判定の画面。インストールしようとするアプリケーションの危険性を「高」と判定している

多彩な機能を備え、重要な情報を格納するモバイル端末は、小さなPCです。モバイルを取り巻く脅威がPCのそれと同じような変遷をたどる中で、スマートフォンやタブレット端末にもPCと同等のセキュリティを備えることが求められているのです。

※ AndroidはGoogle Inc.の商標です。
※ このドキュメントの内容の一部は、Google社が作成、提供しているコンテンツをベースに複製もしくは変更したもので、クリエイティブ・コモンズの表示3.0ライセンスに記載の条件に従って使用しています。

記事公開日 : 2012.09.28

ページの先頭へ