最新モバイル脅威事情:1年で4倍!急増するモバイルへのランサムウェア攻撃

本ブログ記事では、これまでもモバイル利用者を脅かす様々なサイバー脅威についてお伝えしています。しかし、大きな被害事例が継続して報告されている PC の危険と比べ、モバイル端末を利用する際の危険についてはまだまだ浸透していないのが現状ではないでしょうか。本連載ではトレンドマイクロの事件対応と調査分析から判明している、最新のモバイル脅威事情をお伝えいたします。

サイバー犯罪者の視点で考えた場合、現在、金銭を狙う攻撃として最も成功している攻撃手法は「ランサムウェア」であることは間違いありません。2016年9月現在、PC におけるランサムウェアによる被害は増加の一途を辿っていますが、サイバー犯罪者にとって成果を上げやすい攻撃手法は、より対象を拡大させていく傾向にあります。既に3月18日のブログ記事で紹介しているように、ランサムウェアの攻撃は PC の利用者に加え、スマートフォンやタブレットといったモバイル端末利用者へも範囲を拡大させています。

現在のモバイル向けランサムウェアの状況として、トレンドマイクロのクラウド型セキュリティ技術基盤「スマートプロテクションネットワーク(SPN)」の機能である「Mobile App Reputation Service(MAR)」の統計によれば、2016年8月の Android向けランサムウェアの全世界における検出数はおよそ 19万3000個で、これは前月の 2016年7月の 10万5000個と比べても2倍近い増加であり、過去最大の検出数となっています。

図1:
図1:過去1年間(2015年9月~2016年8月)におけるモバイル向けランサムウェアの検出数推移

これらの検出のうち、日本国内の利用者からの検出は全体の 13.5%を占めており、相当数の脅威が日本にも流入していることがわかります。

また、実際にトレンドマイクロが確認した Android版ランサムウェアの検体数の面から見ても、2016年8月の累計はおよそ 13万個に及び、前年同期である 2015年8月の累計 3万2000個と比べると、4倍に急増しています。これはつまり、1年間で 9万個以上のランサムウェアが登場したことになります。

図2:
図2:Android向けランサムウェア検体の累計数推移

ランサムウェアは身代金を要求するために何らかの「人質」をとります。現在、PC向けのランサムウェアではデータを「人質」にする「暗号化型」が猛威を振るっています。これに対し、Android向けランサムウェアでは端末自体使用不能にして「人質」とする「端末ロック型」、しかも法執行機関を偽装するいわゆる「ポリスランサム」の手口がほとんどすべてを占めています。これは仕様上、Android では外部 SDカード上のデータ以外は暗号化することが難しいために、端末ロック型のポリスランサムの活動が主流になっているものと思われます。

図3:
図3:Android向けランサムウェアのファミリー別割合
上位3種の「Slocker」、「Flocker」、「SMSlocker」は
すべて端末ロック型のポリスランサムの活動を持っている

図4:
図4:モバイルランサムウェアの 15%を占める「FLocker」の ”身代金” 要求メッセージ表示例
「MINISTRY OF JUSTICE(法務省)」を偽装したポリスランサムの手口と言える

■ 被害に遭わないためには

現在不正アプリのほとんどは、正規マーケットではなく、不審なサードパーティマーケットやインターネット上で配布されています。正規の Android向けアプリマーケットである「Google Play」や、携帯電話事業者が運営するような信頼できるサードパーティマーケットからのみ、アプリをインストールしてください。

意図せずインターネット上の不審なファイルをインストールしないよう、普段は Android OS のセキュリティ設定から「提供元不明のアプリのインストールを許可する」の設定を無効にしておくことを推奨します。意識して信頼できるサードパーティマーケットからアプリをインストールする場合のみ、「提供元不明のアプリのインストールを許可する」を有効にしてインストールを行ってください。

図5:
図5:Android 5 での「提供元不明のアプリ」設定画面例
(画面はバージョンや端末種類によって異なる)

不審なサードパーティマーケットには「Google Play」に似せたデザインで正規マーケットと勘違いさせるものもあります。偽マーケットに誘導されないよう、「Google Play」には登録されているアイコンからアクセスしてください。また Web からアクセスする場合は URL が正しいものかを確認することを推奨します。正規の「Google Play」からアプリを入手する際にも、アプリのデベロッパー、レビュー、インストール数などの項目をチェックすることで不審点に気づくことが出来る場合があります。

また攻撃者は、動画再生などの実行に必要なアプリ、便利な機能を実現するアプリ、システムアップデートやセキュリティ対策上必要なアプリ、などの名目で利用者を騙し、不正アプリをインストールさせる手口が見られています。メールや Web閲覧時に表示されるメッセージなどでアプリのインストールを促された場合には、特に注意してください。

■ トレンドマイクロの対策

トレンドマイクロでは、モバイル環境での総合セキュリティ対策として、個人利用者向けには「ウイルスバスターモバイル」、法人利用者向けには「Trend Micro Mobile Security」を提供しています。これらの製品ではトレンドマイクロのクラウド型セキュリティ技術基盤「Trend Micro Smart Protection Network(SPN)」の機能である「Mobile App Reputation(MAR)」技術や「Webレピュテーション(WRS)」技術により、不正アプリや不正Webサイトのブロックに対応しています。