IPA(独立行政法人 情報処理推進機構)は、コンピュータウイルスや不正プログラムの状況分析から、「今月の呼びかけ」を発表している。今月は非公認のアプリを使ったことから、IDやパスワードが窃取され、具体的な被害が発生した事件とその対策を紹介している。
非公認アプリからIDとパスワードが盗難
まず、2014年8月に発生した事件の概要を紹介しよう。そのユーザーはゲーム開発者で、App Storeに自身で開発したゲームアプリを登録し、アイテム課金を収入としていた。そのため、ゲーム開発者は2つのアプリを使用していた。
- Apple社公認のiTunes Connect
- 非公認の売上管理アプリ
前者は、Apple社が提供する開発者支援のサイトへアクセスするためのものである。後者は、アプリの売上管理を行うApple社とは無関係な非公認アプリであった。いずれのアプリもApple社の正式サイトにアクセスする必要がある。そのため、Apple IDとパスワードが必要になる(図1)。
ここで非公認の売上管理アプリが不正活動を行ったのである。ゲーム開発者のApple IDとパスワードを悪意を持った攻撃者が窃取したのである。そして、攻撃者がゲーム開発者になりすまし、ゲームアプリの譲渡手続きを行ったのである。結果、ゲーム開発者は、アイテム課金の報酬を受け取ることができないという、具体的な被害が発生した。
公式サイトにアクセスする方法と危険性
さて、公式アプリの目的はなんであろうか? 第一の目的は、公式サイトへのアクセスである。もちろんブラウザ経由しても可能である。しかし、図2のように、公式アプリを使うことで、IDやパスワードの入力が不要になるといった利便性を享受できる。
それ以外にも、独自のサービスなどが利用可能になり、ブラウザよりも簡単にサービスを受けられるメリットもある。スマートフォンでは、操作性も向上する。しかし、ブラウザと異なり、URLなどが表示されない。そこを攻撃者は狙っている。
図3のように、公式サイトにアクセスするふりをして、IDやパスワードを窃取するのである。
被害に遭わないための対策
まず確認したいのは、IDやパスワードを入力必要があるかどうかである。IDやパスワードを使う必要がなれば、個人情報が窃取される心配もない。問題は、公式サイトにアクセスする場合に、IDがパスワードが必要になり、その情報をアプリに入力する必要がある場合である。IPAでは、以下をあげている。
- 検索サイトで、当該サービス事業者名で検索してサービス事業者の公式サイトにアクセスする
- サービス事業者の公式サイト内のメニューや検索機能、または問い合わせ窓口に連絡してアプリの提供有無を確認
残念ながら、これだけでは、完全に不正かどうかを判別するのは難しいだろう。さらに、第三者の作成したものでも、安全なアプリもある。こういったことも判断を難しくしているといえるだろう。
非公認の偽アプリが公式サイトに
以下は、筆者が調べたものであるが、非公認アプリなどが公式サイト(App Store)などに登録されることだ。App Storeは、審査基準が厳しいといわれるが、このような事例は少なからず発生している。さらに、偽アプリとわかっても、App Storeから登録解除になるまでに、1週間以上かかっていることもある。
2014年初めに確認された食品宅配関連の偽アプリでは、その会社のロゴや公式ページを表示することから、偽物と判断するのが非常に困難であった。そして、このような偽アプリの目的であるが、
- 偽アプリで表示される広告による収入
- 個人情報の収集
が推察される。IPAも指摘しているが、人気のある企業ほど狙われやすい。企業側の対策であるが、公式アプリを先に開発・頒布することが最大の防御となる。公式アプリがあり、その存在が明確に告知されていれば、偽アプリがダウンロードされる機会は大幅に減る。また、仮に偽アプリがアップロードされても、公式アプリがない場合は、登録解除などに時間がかかることも予想される。ユーザーにも説得力をもった告知が可能となる。
偽アプリの登場は、企業にとっては風評被害などの影響が大きい。企業側の対応も必要ということだ。繰り返すが、ユーザーとしては、まず公式アプリの存在を確かめることが重要な対策となる。さらに付け加えると、上述の偽アプリでは、その会社や組織と関連がまったくなさそうな個人名が開発元となっていた。このあたりも、インストールする前に確認しておきたい点である。その際に有効なのは、アプリ紹介ページにある[関連]である。同じ開発元が、複数の公式アプリを作成するとは、普通では考えにくい。偽アプリの場合は、同じ開発元が複数作成することがある。この点にも注意してほしい。