トレンドマイクロは7月29日、リリース直後からワールドワイドで人気を集めるPokemon GO(ポケモンGO)を装った不正アプリが出回っているとして注意を呼びかけた。

ポケモンGOは、米国などで7月6日に公開されたスマートフォン向けゲームアプリ。すでに全世界で数千万ダウンロードを記録しており、日本でも1000万ダウンロードを達成したという調査結果がある。

こうした人気のある製品やサービス、イベントには「便乗商法」が多く見られるが、トレンドマイクロのシニアスペシャリストである森本 純氏は、サイバー犯罪でも定番になりつつあると指摘する。過去には2012年のロンドン・オリンピック、2014年にはiPhone 6の発表直前に偽サイトや迷惑メールが多数登場しており、今回もまさにその人気にあやかる格好となった。

トレンドマイクロ シニアスペシャリスト 森本 純氏

過去の便乗例

犯罪者が便乗する理由は単純で、「攻撃成功率の向上」「効率化」「金銭や個人情報の取得」を目的としている。人気になっているモノには人が群がるため、情報を精査することなくメールやWebサイトを開いてしまう。そのため、普通の迷惑メールのように細かくソーシャルエンジニアリングすることなく、偽サイト・アプリに人を呼びこめる。つまり「効率的」に「金銭や個人情報を取得できる」というわけだ。

ポケモンGOと思いきや遠隔操作されてしまうアプリ

今回のポケモンGOの事例では「遠隔操作アプリ」と「広告の強制表示アプリ」「偽サイト」が見つかった。これらは海外でのアプリ公開後、日本での公開前に見つかったもので「日本でアプリが公開されてからの事例は、近いうちに公開する」(森本氏)としている。AndroidとiOSの双方で不正アプリが確認されているが、下記の例はすべてAndroidアプリとなる。

遠隔操作アプリは、正規アプリをリバースエンジニアリングしたもので、リパックツールを利用してRATを組み込んだあと、再びパッケージ化してポケモンGOのアプリとして流通させていた。遠隔操作アプリは、その名の通りにスマートフォンを遠隔操作できるようになるため、SMSの受信・送信内容を読み取れるだけでなく、電話の盗聴やカメラ撮影まで可能となる。「このリパックツールは1ドル未満で簡単に入手できる状態」(森本氏)とのことで、あまり技術に明るくない人物でもサイバー犯罪に手を染められるとして警鐘を鳴らしていた。

また、広告の強制表示アプリはGooglePlayに一時掲載されていたもので、アプリをインストールするといきなり端末がロックしてしまう。なんとかロックを解除しようとスマートフォンを再起動すると広告が強制的に表示されて、使い物にならなくなるという不正アプリとなる。このアプリは、広告のクリックによるマネタイズを目指したものだという。

最後の偽サイトは、いわゆる「騙しリンク」で、ポケモンGOの公式サイトへの誘導と見せかけつつ、実際は無関係な第三者のポイントサイトへの誘導となっていた。URLはテキストが本物のように見えても実際のリンク先が全く別のサイトの可能性があるため、注意を払う必要がある。今回は、ポイントサイトへの誘導であり、アフィリエイト目的の可能性が高いものの、マルウェアをバックグラウンドでダウンロードさせるサイトなど、より悪質なWebサイトが設定される可能性もあるとして危険性を指摘していた。

>>SNS乗っ取りとの共通点、法人が取るべき対策は?