任天堂の最新のモバイルアプリ「Pokémon Go」が米国で公開され、大人気となっている。だがゲーム用サーバーの負荷を考え、任天堂は米国外では限定的にしか提供していない。では米国外でPokémon Goをやってみたい人はどうするだろうか?マルウェアが仕込まれた海賊版が既に現れている、とセキュリティベンダーのSophosが警鐘を鳴らしている。
How many of your staff installed a pirated copy of Pokémon GO?(Sophos Blogより) |
iOSでは、ほかの市場からアプリをインストールする方法はほとんどない。Appleが公式にサポートするのは「App Store」からのダウンロードのみだからだ。だがAndroidでは「信用できないソースからのアプリのダウンロードを許可する」という選択肢があり、「Google Play」に限定されず、どこからでもソフトウェアをダウンロードできる。
そのため、多くの人がAndroidのセキュリティレベルを下げて、海賊版のPokémon Goをサポートされていないダウンロードサイトから入手するという現象が起こっているのだという。しかし、このような集団心理が促すリスク・テーキングこそ、サイバー犯罪者が待ち望んでいるもので実際、SophosではPokémon Goの改変版を確認している。
オリジナルと同じような外観で、同じような機能を持つが、「DroidJack」というAndroidスパイウェアを含む。DroidJackは、端末のカメラを経由してユーザーをみたり、GPS経由で位置を追跡したり、テキストメッセージや会話を傍受できる。切実な問題は、「もしハッキングされたPokémon Goを誤ってダウンロードしてしまった場合、悪意ある人を特定できるのか?」だろう。
Google Playにはたくさんのマルウェアが紛れ込んでおり、Google Playの管理者すらその違いを見分けられない状態だ。専門家の助けなしには、公式のアプリと不正なアプリを区別するのは難しいのだという。
AndroidにおけるモバイルアプリでのSophosのアドバイスは以下となる。
・評判が低いものや評価のないアプリは避ける。だれも知らないアプリは信じないほうがよい。
・できるだけGoogle Playのみを利用するように。非公式のアプリストアよりも安全だ。
・Android向けアンチウイルスソフトを利用する。
・仕事用のスマートフォンをきちんと管理する(信用できないところからのアプリのダウンロードを許可するかどうか、など)。