IPAは、コンピュータウイルスや不正プログラムの状況分析から、「今月の呼びかけ」を発表している。今月は、スマートフォンから個人情報を抜き取る不正アプリを紹介している。IPAではこれまでも、スマートフォンを狙った脅威とその対策などを紹介してきた。今回、取り上げる不正なアプリは、日本語のメールで誘導していた。つまり、明確に日本人を狙った攻撃といえる。IPAでは、この不正アプリを入手し、その攻撃手法などを分析した。その手口を紹介したい。
メールで不正アプリのダウンロードを誘導
今回の不正アプリでは、ダウンロードをさせるためにメールが使われた。実際には、図1、2のような内容であった。
いずれも、不正アプリをダウンロードさせるリンクが仕込まれている。この手口は、PCでウイルスに感染させる手口と同じものである。さらに図2では、「Google play」を騙り、本物と信用させようとしている。
SNSも悪用
今回は、メール以外にもSNS(ソーシャルネットワークサービス)も使われた。
アプリの紹介とともに、ダウンロードさせるリンクが仕込まれている。SNSは、知り合い・友人といったコミュニティで形成されることが多い。つい安心してしまい、注意力が働かないことがある。そんな油断を狙っているのである。
不正アプリのインストール
上述のような手口を使うことで、ユーザーを不正なサイトへと誘導する。実際にダウンロードを行い、不正アプリのインストールを開始すると、図4のような権限の確認がでる。
「個人情報」にアクセスする許可が与えられる。実際にインストールすると、図5のようになる。
本来の動作をせずに、個人情報を抜き取る
さて、図5でアイコンをタップすると、この不正アプリが起動する。
画面には、初期設定中と表示されるが、必ず図7のように「未対応で利用できない」と表示される。
実は、図6から図7への間に、電話帳の内容を外部のサーバに送信しているのである。その送信内容の例は、以下の通りである。
test = 1%3A%E3%81%84%E3%81%B1 %E6%AC%A1%E9%83%8E%3A999-
9999%3Ajiro.t01c%4Ovirus.ipa.go.jp%2F2%3A5E5%B1%B1%E7%94%BO
%E5%A4%AA%E9%83%8E%3A888-8888%3Ayamada.taro.t01c%40virus.ipa.go.jp%2F
IPAがこの内容を解読したのが、以下である。
test = 1:いば 次郎:999-9999:jiro.t01c@virus.go.jp/2:山田 太郎:888-
8888:yamada.taro.t01c@virus.ipa.go.jp/
「:」で区切られた名前、電話番号、メールアドレスが見てとれる。このようにして、スマートフォンから、個人情報が窃取されるのである。
不正アプリ対策
IPAでは、このような不正アプリに、以下のような対策をすべきとしている。
信頼できる場所からアプリをインストールする
AndroidであればGoogle play、iPhoneであればApple Store、また、通信事業者が公式に運営するサイトといった信頼できる場所からダウンロードをすることをIPAでは勧めている。これらのサイトでは、事前にアプリの審査を行い、不正アプリをダウンロードできないようにしている。決して、素性がはっきりしないようなサイトからダウンロードしないことである。
Android端末では、インストール前の許可を確認する
Android端末では、インストールの際に、どのような権限が必要になるかの確認が行われる(図4)。ここで、インストールしようとするアプリに不適切な許可を求めている場合、不正アプリの可能性が高い。そのような場合は、インストールを中止すべきである。インストール時には、必ず確認したいことである。
セキュリティ対策ソフトの導入
セキュリティ対策ソフトの導入することで、不正なアプリのインストールを防ぐことが可能である。上述の対策は、人間の注意力に頼るものである。しかし、図3のように、注意力を低下させるような手口が頻繁に使われている。もはや、注意力だけでは防ぎきれないといってもよい。すみやかに、導入を検討してほしい。