トレンドマイクロでは、スマートフォンのアプリのインストールと混同させる表示を行う不正 Web サイトの攻撃を、継続して確認しています。この攻撃に関しては、2013年2月20日のブログ記事でもお伝えしていますが、日本国内において攻撃手法として定着しつつあるものと言えます。
|
今回確認された不正サイトは、Android 向けアプリの正規マーケット「Google Play」を偽装したデザインとなっています。以前のケース同様、ユーザが不正サイトにアクセスするとアプリのインストールを偽装した画面表示が行われ、自動的にメールアドレスなどの情報入力画面が表示されます。
 |
|
図1:正規マーケット「Google Play」を偽装した表示例。アプリの評価や他のアイテムの紹介まで細かく偽装している |
 |
|
図2:不正サイトへのアクセス後に表示されるアプリインストールを思わせる画面遷移。ユーザにインストール進行中と思いこませるプログレスバーの表示は、詐欺的 Web サイトでは以前から見られる定番的な手口 |
 |
|
図3:アプリインストールの偽装表示後に表示される情報入力画面 |
トレンドマイクロでは、この不正サイトへユーザを誘導する手段として、「Twitter」への投稿や「LINE」上でのメッセージを確認しています。現在、「Twitter」や「LINE」のようなソーシャルメディアは、スマートフォンなどのモバイルデバイスからアクセスされることが多くなっています。アプリを偽装した表示と合わせ、モバイルデバイス利用者を狙う攻撃者の意図が窺えます。
「LINE」では、この偽装サイトの URL は、個人に対する「招待状」の迷惑メッセージによる拡散を確認しています。また「Twitter」では、「LINE」同様の招待状やサイトの紹介と称した投稿の他、2013年3月22日のブログ記事でも触れたような注意喚起や被害の報告と思われるツイートによっても、結果的に偽装サイトの URL が拡散しているケースを確認しています。
このアプリ偽装表示を行う不正サイトの最終的な被害として、不正プログラムのインストール、ワンクリック詐欺、ブラウザクラッシャー、システム破壊など、様々な噂が伝わっているようです。しかし、トレンドマイクロで解析を行った結果としては、単純なメールアドレスなどの情報収集から、サクラサイトへの誘導と迷惑メール送信に繋がる動きのみが確認できました。このようなインターネット上での伝言ゲーム的な脅威情報の変質は興味深いところですが、いずれにせよ、このようなサイトへのアクセスは大きなリスクを伴うことは変わりません。興味本位でアクセスを行わないようご注意ください。
 |
|
図4:情報入力画面に情報を入力すると、仮登録完了の画面が表示される |
 |
|
図5:その後、実際に登録確認メールが着信 |
 |
|
図6:メール内の URL をクリックすると「登録完了」ページが表示される |
 |
|
図7:「登録完了」ページ内の「ログイン」ボタンをクリックすると不審な「出会いサイト」へ誘導される |
 |
|
図8:「ログイン」後、すぐに迷惑メールが届き始めた |
このように、2013年2月20日のブログ記事で紹介した事例とほとんど同じ内容であり、手口として明確に確立しているものと言えます。攻撃者にとっては不正プログラムや不正アプリを作成することなく、よりハードルの低い Web サイトの作成のみでユーザの情報取得が行える便利な手口となっているため、今後もこのような偽装サイトの手口は増加が予想されます。特にモバイルデバイスの利用者は、このような手口が広まっていることをしっかり認識し、騙されないようにすることが重要です。
■トレンドマイクロの対策:
トレンドマイクロでは、クラウド型セキュリティ基盤「Trend Micro Smart Protection Network」の Web サイトの危険性評価技術である「Webレピュテーション」機能により、不正 Web サイトへのアクセスブロックの対応を提供しています。また、電子メールの危険性評価技術である「E-mailレピュテーション」機能により、危険性の高い迷惑メールの受信ブロックの対応を提供しています。
※解析およびリサーチ:吉川孝志(Regional Trend Labs)
