本ブログ記事では、これまでもモバイル利用者を脅かす様々なサイバー脅威についてお伝えしています。しかし、大きな被害事例が継続して報告されている PC の危険と比べ、モバイル端末を利用する際の危険についてはまだまだ浸透していないのが現状ではないでしょうか。本連載ではトレンドマイクロの事件対応と調査分析から判明している、最新のモバイル脅威事情をお伝えいたします。前回はモバイルでこそ注意すべき Web経由の攻撃について説明いたしました。第2回の今回は正規アプリになりすます手口を紹介します。
前回記事で紹介したように、モバイル利用者を狙うサイバー脅威は Web経由での誘導が最も多く、特に Android端末に対しては最終的に不正アプリや迷惑アプリ、不必要な正規アプリが侵入することが多くなっています。トレンドマイクロのクラウド型セキュリティ技術基盤「Trend Micro Smart Protection Network(SPN)」の機能である「Mobile App Reputation Service(MAR)」の統計によれば、日本国内のモバイル端末において2016年1~4月の間に、不正アプリ・迷惑アプリに対しておよそ318万件の検出を確認しています。
図1: 2016年日本国内のモバイル端末における不正アプリ、迷惑アプリの検出数推移(トレンドマイクロSPN による)
図2: 2016年日本国内のモバイル端末における不正アプリ、迷惑アプリの検出割合(トレンドマイクロSPN による)
そして、これらの検出のうち、84%が迷惑アプリに分類されるものでした。「全体の84%が迷惑アプリ」と聞くと、不正アプリに遭遇する危険性は低いものと誤解される方もいらっしゃるかもしれません。しかし、絶対数では不正プログラムの検出は4か月の合計で51万件以上であり、不正アプリのモバイル端末への侵入は月平均13万件近く発生している計算になります。迷惑アプリも含めれば月平均80万件弱の侵入がモバイル端末で発生していることになり、モバイルの脅威はもう無視できる規模に留まっているものではないことはご理解いただけるでしょう。
■ 利用者にアプリをインストールさせる騙しの手口
不正アプリ、迷惑アプリ、いずれが侵入する場合においても、最初の段階では利用者にアプリのインストールを承諾させる必要があります。前回記事では、サイバー犯罪者がモバイル利用者にアプリをインストールさせる手口として「偽のセキュリティ警告」を表示する例を紹介しました。またそれ以外にも、画像の表示や音楽や動画の再生などを行うために必要なアプリ、という名目で利用者にインストールを促す手口が確認されています。サイバー犯罪者はこのような「騙し」をモバイル利用者に感づかれないため、不正アプリや迷惑アプリを正規のアプリに見せかける手段を使用します。例えば「画像の表示や音楽や動画の再生などを行うために必要なアプリ」とモバイル利用者に信用させるため、インストールさせようとするアプリの名称に「Music」、「Movie」、「MP3」などの音楽や動画に関連する単語が織り込まれたアプリを使用する手口がわかっています。2016年1~4月に日本国内で検出された不正・迷惑アプリは3万6000種に及んでいますが、上記のような音楽や動画に関連するアプリ名の偽装を行っているものを含め、メディア・動画・音楽関連に分類できるアプリへの偽装が全体の38%を占めていました。
図3: 音楽や動画に関連するアプリに偽装したアプリのアイコン例
■ 正規アプリになりすますための究極手口「リパック」
そして、この偽装の目的でサイバー犯罪者が使用する最も巧妙な手口が「リパック」です。Android のアプリのインストールの際には APK という形式のファイルが使用されます。この APKファイルは実際には単なる圧縮ファイルであり、内容はアプリのインストールに必要な複数のファイルになっており、Android OS のシステムが内容を解釈してアプリをインストールし使用可能にします。この APKファイルは圧縮ファイルなので PC の実行ファイルに比べ、内容の確認や変更が容易になっています。サイバー犯罪者はこの Androidアプリの特性に付け込み、有名アプリの正規 APKファイル改造し、不正アプリや迷惑アプリがインストールされるようにしてしまいます。
図4: Android OS用の APKファイルを PC用圧縮解凍ツールで開いた際のイメージ。複数のファイルやフォルダで構成されていることがわかる
このような改造を行った場合、APKファイルに施されている本来の開発者によるデジタル署名は無効になってしまいます。しかし、それはほとんど問題になりません。サイバー犯罪者は改造した APKファイルに自ら用意したデジタル署名を施し、サードパーティのアプリマーケットやインターネット上のサーバから配布します。こうしてサイバー犯罪者は不正アプリ、迷惑アプリを有名アプリに混入し、利用者にインストールさせることができます。
次回は、「リパック」による有名ゲームアプリへの偽装を実例で紹介します。
■ 被害に遭わないためには
現在不正アプリや迷惑ソフトのほとんどは正規マーケットではなく、不審なサードパーティマーケットから配布されています。正規の Android向けアプリマーケットである「Google Play」や携帯電話事業者が運営するような信頼できるサードパーティマーケットからのみアプリをインストールするよう、普段は Android OS のセキュリティ設定から「提供元不明のアプリのインストールを許可する」の設定を無効にしておくことを推奨します。意識して信頼できるサードパーティマーケットからアプリをインストールする場合のみ、「提供元不明のアプリのインストールを許可する」を有効にしてインストールを行ってください。
■ トレンドマイクロの対策
トレンドマイクロでは、モバイル環境での総合セキュリティ対策として、個人利用者向けには「ウイルスバスターモバイル」、法人利用者向けには「Trend Micro Mobile Security」を提供しています。これらの製品ではトレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network(SPN)」の機能である「モバイルアプリケーションレピュテーション(MAR)」技術や「Webレピュテーション(WRS)」技術により、不正アプリや不正Webサイトのブロックに対応しています。