本ブログ記事では、これまでもモバイル利用者を脅かす様々なサイバー脅威についてお伝えしています。しかし、大きな被害事例が継続して報告されている PC の危険と比べ、モバイル端末を利用する際の危険についてはまだまだ浸透していないのが現状ではないでしょうか。本連載ではトレンドマイクロの事件対応と調査分析から判明している、最新のモバイル脅威事情をお伝えいたします。第1回は脅威の侵入経路としてモバイルでこそ狙われてる「Web経由」の攻撃について、まとめます。
サイバー犯罪者がインターネット利用者を攻撃する際の経路は、ほぼ2つに集約されます。電子メール経由と Web経由です。PC の場合、電子メールの添付ファイルによる不正プログラムの拡散は大きな被害に繋がっています。しかし、一般的なモバイル利用者において、電子メールで添付ファイルを送る、受け取って開くという処理はあまり頻繁に行うことではないようです。また、現在モバイル端末で主流となっている2つの OS、Android OS と iOS の双方で主要なアプリの入手方法はインターネット上のアプリマーケット経由となっています。このため、モバイル利用者に不正アプリをインストールさせるための手法としては、電子メールの添付ファイルよりもあらかじめ用意した不正な Webサイトへ誘導する手口の方に利があるようです。
図1: 不正サイトへ誘導された国内モバイル利用者数推移(トレンドマイクロSPNによる)
上図はモバイル端末から不正サイトへアクセスした国内モバイル利用者数の推移です。増減はあるものの全体として増加傾向にあること、最低でも4万、直近3カ月となる3~5月は連続して10万以上のモバイル利用者が不正サイトへアクセスしたことがわかりまず。これを見る限り、サイバー犯罪者の狙いは成果を上げてしまっているようです。
では、サイバー犯罪者はどのようにしてモバイル利用者を不正サイトへ誘導するのでしょうか? 最近の攻撃事例からは、電子メールよりもソーシャルメディア上の投稿やメッセージにより利用者を誘導する方法がわかっています。また PC同様の不正広告による誘導も確認されています。そして、最終的に利用者を騙すソーシャルエンジニアリング手法により、不審なアプリをインストールさせる手口もわかっています。
■ 不正サイトへの誘導方法
サイバー犯罪者は様々な方法で Twitter や Facebook のアカウントを乗っ取り、メッセージや投稿などの手段での誘導を試みます。特に Facebook は継続して様々な手法での誘導投稿があり、写真やイベントを投稿し、友人をタグ付けすることで友人のタイムラインに表示させようとする手法が見られており、Facebook のメッセンジャーで HTMLファイルを送信し、不正サイトへ誘導する手口もありました。
図2: HTMLファイルを添付した Facebookメッセージの例
また、PC の脅威と同様の「不正広告」の手口により誘導する方法も見られています。PC向けの不正広告では脆弱性攻撃サイト(EKサイト)への誘導により「自動的に感染」させるものがほとんどです。しかし、モバイルではそのような脆弱性の利用による「自動感染」の手口は現在のところ確認されておらず、表示されるメッセージによって利用者にアプリのインストールを仕向ける手法がとられています。
またこのような手口で誘導される不正サイトには、最終的にアプリをインストールさせる目的のもの以外にも、フィッシング詐欺サイト、不審なショッピングサイト(偽ブランド品販売サイトや有名サイトに似せたデザインのサイトなど)なども確認されています。最終的にどのような不正サイトへ誘導されるかはアクセス前の段階にはわかりませんが、いずれにせよ利用者にとって有益なものではありません。
図3: 誘導される偽ブランド品販売サイトの例
■ 利用者を騙すソーシャルエンジニアリング手法
最近の攻撃事例で利用者を騙すための手口として最も多く見られているのが、ウイルス感染メッセージなどの偽のセキュリティ警告により、セキュリティアップデートやウイルス駆除の名目で利用者にアプリをインストールさせようとするものです。不正広告でも利用されていますが、不正サイトへのアクセス時に偽セキュリティ警告が表示された場合も確認しています。
図4: 不正広告における偽セキュリティ警告の例
図5: 不正サイトにおける偽セキュリティ警告の例
偽セキュリティ警告以外の手口としては、画像の表示や音楽や動画の再生、またメッセージのやり取りなどを行うために必要なアプリ、という名目で利用者にインストールを促す手口が確認されています。
また、このような表示を行う不正サイトはマルチデバイスへの対応がなされていることが多く、例えば PC でアクセスした場合には OSを判定して PC向けの表示を行います。これはサイバー犯罪者がデバイスによる攻撃の使い分けをしていることを示しており、モバイル端末が攻撃対象としてはっきり認識されていることを示していると言えます。
図6: 同一不正サイトへ PC でアクセスした場合表示例
また、モバイル環境としては Android に比べセキュアであると考えられている iOS もこのような誘導手口の対象となっています。iOS では一般に正規アプリマーケットである AppStore 経由でしかアプリのインストールはできないと考えられていますが、法人でのアプリ配布のための仕組みである「プロビジョ二ングプロファイル」を悪用し、AppStore を迂回してアプリをインストールさせる方法が確認されています。 iTunes Store の偽サイトへの誘導も見られており、iOS 端末も十分攻撃対象となっていると言えます。
図7: iTunes Store と誤解させる偽サイトの表示例
■ 不正サイトへのアクセスによる最終的な被害
これらの騙しの手口によりアプリインストールを促す不正広告や不正サイトから、最終的にインストールされるアプリはどれほど凶悪な不正アプリなのでしょうか?予想に反し、このような手口でインストールされるアプリは、実際には不正アプリではなく正規マーケット上で配布されている正規アプリである場合の方が多いようです。これは PPI(Pay Per Install)というアフィリエイトプログラムなどの利用により、正規アプリをインストールさせることで金銭的利益を得ようとする手口です。この手法であれば、一般利用者にとっては迷惑と感じることがあるかもしれませんが深刻な実害はないため、サイバー犯罪者としては不正活動として追及を受けるリスクを負わずに金銭を得ることが出来ます。また、同様に不正とまでは言えない迷惑ソフトやアドウェアに分類されるアプリをインストールする場合も見受けられます。PC でも、不正プログラムよりもグレーなソフトや PUA と呼ばれる迷惑ソフトの検出の方が多くなっている実態がありますが、モバイルでも同様となっています。ただし、最終的にインストールされるものが正規なものであるのか、迷惑ソフトレベルのものか、不正アプリであるのかはインストールが完了してみないとわかりません。特にワンクリック詐欺ソフトや情報窃取型不正アプリがインストールされ、金銭が要求されるようなケースも実際に存在していますので、君子危うきに近寄らず、という対応が正解です。
次回は、有名アプリに偽装して利用者を騙す「リパックアプリ」の手口と実態について紹介します。
■ 被害に遭わないためには
現在不正アプリや迷惑ソフトのほとんどは正規マーケットではなく、不審なサードパーティマーケットから配布されています。正規の Android向けアプリマーケットである「Google Play」や携帯電話事業者などが運営する信頼のおけるサードパーティマーケットからのみ、アプリをインストールしてください。普段は Android OS のセキュリティ設定から「提供元不明のアプリのインストールを許可する」の設定を無効にしておくことを推奨します。意識して信頼できるサードパーティマーケットからアプリをインストールする場合のみ「提供元不明のアプリのインストールを許可する」を有効にしてインストールを行ってください。
■ トレンドマイクロの対策
トレンドマイクロでは、モバイル環境での総合セキュリティ対策として、個人利用者向けには「ウイルスバスターモバイル」、法人利用者向けには「Trend Micro Mobile Security」を提供しています。これらの製品ではトレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network(SPN)」の機能である「モバイルアプリケーションレピュテーション(MAR)」技術や「Webレピュテーション(WRS)」技術により、不正アプリや不正Webサイトのブロックに対応しています。