IPAは、コンピュータウィルスや不正プログラムの状況分析から、「今月の呼びかけ」を発表している。今月は、Android端末を対象とした新たなワンクリック請求について、注意喚起を行っている。
従来の手口と異なるワンクリック請求
IPAによると、Android向けのアプリを提供するGoogle Playに従来の手口と異なるワンクリック請求を行うアプリが検出されたとのことである。まず、この不正アプリの挙動である。
- Google Play上に不正アプリが登録
- Google Play上で、アプリをダウンロードしてインストール
- インストールをしても、個人情報の漏えいなどの被害は発生しない
- アプリが実行されると、ワンクリック請求のページを表示する
単なるアプリなので、端末を再起動することで、請求画面は消える。アプリを再実行しなければ、請求画面は表示されない。従来のワンクリック詐欺などでは、以下のような手口が一般的であった。
- メールなどを使い、不正なアプリを配布する悪意のサイトへ誘導する
- 誘導されたサイトで、不正アプリをインストール
- 不正アプリが個人情報を読み出し、攻撃者へ漏えいする
- 電話番号などからSMSを使い、定期的に請求が届く
従来の手口では、個人情報が漏えいしているため、インストールした不正アプリを削除しても、請求が止まることはない。
新しいワンクリック請求アプリの挙動
では、新しいワンクリック請求を行う不正アプリの挙動をみていく。まず、インストール時であるが、権限(パーミッション)の許可では、フルインターネットアクセスのみが求められる(図1)。
従来の手口では、個人情報(電話番号などの端末情報)を詐取するために、電話発信、位置情報などが許可するように求められる。この点が大きく異なる点である。実際にアプリがインストールされても、何も起きない。アプリを実行すると、ワンクリック請求を行うアダルトサイトが表示される(図2)。
さらに、画面を進めると「登録完了」の表示とともに高額な請求金が表示される。さらにこれは従来の手口と同様であるが、IPアドレスなどを表示して、いかにも個人情報がアダルトサイトに登録されたかのように見せかける。IPAの分析によれば、個人情報などはいっさい送信されず、特定のアドレスのページを表示させているだけであるとのことだ。
攻撃者の目的はどこに?
さて、従来型のワンクリック請求と比較して、個人情報の漏えいなどもなく、被害も軽微のように思える。悪意を持った攻撃者は、何を意図しているのであろうか。
まず、図1のインストール時の権限の許可では、個人情報へのアクセス許可を求めていない。IPAでは、これまでインストール時に個人情報へのアクセス許可を求めるようなアプリについては、注意をするように喚起してきた。しかし、その許可を求めていないことから、この防御策は通用しない。つまり、不正アプリがよりインストールされやすい環境といえるだろう。攻撃者は、ここを狙っている可能性がある。
次に、アプリを実行時にのみ請求画面が表示されるので、効果は薄いとも思われる。しかし、ワンクリック請求などを経験したことがないユーザーにとっては、図2のような表示だけでも、十分不安になる可能性がある。また、アダルトサイトであることから、誰にも相談できずに、攻撃者のいいなりになりやすい。Google Playにアップロードすることでより信用させ、その罠に落ちるユーザーを虎視眈々と待っていると思われる。
では、このような不正アプリをインストールしてしまった場合の対処方法を紹介しよう。個人情報などは漏えいしないので、まずは再起動を行う。再起動後には、請求画面は表示されなくなるので、不正アプリをアンインストールする。とりあえず、これだけで十分である。
一般的に、このようなワンクリック請求は電子商取引の正しい手順を踏んでいないので、基本的には画面にあるような契約として成立しない。しかし、不安に思うユーザーもいるだろう。そのような場合、IPAでは最寄りの消費生活センターや、自治体の無料弁護士相談などを利用するようにとしている。もし、具体的な請求などが執拗に行われた場合、警察のサイバー犯罪窓口に相談してもよいとのことである。
iPhone、iPadでも同じようなことが
IPAによると、iPhoneやiPadでも同じようなワンクリック請求に関する問い合わせが寄せられているとのことだ。こちらは、アプリではなく、WebブラウザのSafariを使ったものである。iPhoneでの対処方法を簡単に紹介しよう。まず、タブの一覧から終了したいタブを[×]ボタンで終了させる(図3)。
次に、ホームの[設定]から[Safari]を選び、[履歴を消去]と[Cookieとデータを消去]をタップする(図4)。
OSのバージョンなどで、多少、異なる可能性もある。iPadの場合もほぼ同じような手順で行うことができる(詳細は、IPAの今月の呼びかけを参照してほしい)。