マカフィー公式ブログ
提供:マカフィー株式会社
不正なAndroidアプリを回避するために:ダウンロードする前にお読みください
2021年12月6日
Google Playストアで、30万人以上のユーザがオンラインバンキング用のトロイの木馬アプリをダウンロードしていたとニュースで流れていたことを記憶されていた方も多いかもしれません。このアプリは、Google Playストアのセキュリティ検出機能を回避してマルウェアをインストールするように設計された悪質なアプリです。
セキュリティレポートによると、このトロイの木馬は、QRコードスキャナやフィットネスアプリなど、一般的なユーザーがよく検索するアプリを巧みに装っていることがわかりました。このようなトロイの木馬には、口座情報を盗み出したり、口座番号を入力する際のキーストロークを収集したり、スマートフォンで操作を行う際のスクリーンショットを撮影したりするように設計されているものがあります。
このようなマルウェアの特徴は、スマートフォンにインストールした後に起動するように設計されています。マルウェアは、Google Playストアにアクセスしただけでは起動しません。そのため、アプリ内でのアップデート処理などの余分なステップが必要になり、マルウェアのペイロードがスマートフォンにダウンロードされることになります。不正なアプリをダウンロードすると、こうしたアップデート処理を促す画面が表示される場合があります。
Google Playストアに表示されるアプリにはマルウェアが含まれていなくても、アプリの購入後に別のサーバーからユーザーのスマートフォンにペイロードが送信されることがあるため、不正なアプリかどうかを判断するのが難しくなっています。
これは、ハッカーがスマートフォンをマルウェアに感染させるために考案した方法の1つにすぎません。
サイバー犯罪者がスマートフォンを標的にするのは不思議ではありません。スマートフォンにはネットバンキングのアプリや決済アプリの認証情報に加えて個人情報や写真が保存されており、これらはすべて身代金の要求に利用できます。カメラ、マイク、GPSなど、強力な機能が組み込まれているスマートフォンが侵害されると、ハッカーは以下を行う可能性があります。
- ユーザーの現在地や日常的な移動を傍受する。
- ソーシャルメディア、ショッピング、金融機関のアカウントのパスワードを乗っ取る。
- App Storeでの購入や決済アプリの使用によってウォレットを使い切る。
- ユーザーのテキストメッセージを読んだり写真を盗んだりする。
このような状況は歓迎できるものではありません。
では、こうした不正な悪質なアプリは具体的にどんなことをするのでしょうか。正規のアプリを装ってユーザーのスマートフォンに侵入し、ファイル、写真を含め、各種機能にわたって強力な権限を獲得したり、サイバー犯罪者が個人情報を収集するためのコードを忍び込ませたりします。その結果、ポップアップ広告の氾濫や、金銭的被害をもたらすアイデンティティ盗難など、さまざまな問題を発生させます。
以下に悪質なアプリの最新事例をいくつかご紹介します。
- 偽の広告ブロックプログラム:広告をブロックすると見せかけて、実際には広告を表示します。
- 偽のVPNアプリ:契約料金が課金されるにもかかわらず、保護機能は提供されません。
- ユーティリティーアプリ:さらに攻撃しやすくするため、システムの権限を乗っ取ります。
このような状況も歓迎できるものではありません。このような悪質なアプリを回避する方法を考えてみましょう。
モバイルアプリをより安全にダウンロードするための7つの手順
ただしこのような偽のアプリは見分けることができます。Google PlayやApple App Storeなどの主要なアプリマーケットプレースは、個々に対策を講じてマルウェアの侵入を防止しています。詳細については、GoogleのサイトとAppleのサイトを参照してください。一方、サイバー犯罪者はこれらの対策をかいくぐって侵入しようとします。(これらの試みを止めることはほとんど不可能です)。ユーザーが少し注意することで、セキュリティを強化することができます。具体的な方法を紹介します。
1. アプリの権限に注意する
サイバー犯罪者がデバイスに侵入する方法として、位置情報、連絡先、写真などへのアクセス権限を入手するという方法があります。サイバー犯罪者は不正なアプリを使用して、こうしたアクセス権限を入手します(例えば、無料の懐中電灯アプリ詐欺では、オーディオやビデオを録画するための権限や連絡先にアクセスするための権限など、最大で70件を超える権限が要求されています)。アプリをインストールする際は、アプリがどのような権限を要求しているのかを十分注意する必要があります。カメラやマイクへのアクセスを要求するようなゲームアプリと異なり、予想を超える数の権限を要求している場合は、詐欺である可能性があります。このようなアプリは削除し、大量の権限を要求しない正規のアプリを見つける必要があります。
アプリをダウンロードする前に、アプリがどのような権限を要求しているのかを確認することもできます。Google Playでアプリのリストを下にスクロールし、[About this app](このアプリについて)を見つけます。[App permissions](アプリの権限)をクリックすると、情報のリストが表示されます。iOS App Storeでは、[App Privacy](アプリのプライバシー)を下にスクロールし、[See Details](詳細を表示)をタップすると、同様のリストが表示されます。すでにスマートフォンにインストールされてアプリについても、どのような権限が必要になるのかを確認することができます。iPhoneユーザーが権限の許可と拒否を行う方法についてはこちらを、Androidユーザーが権限の許可と拒否を行う方法についてはこちらを参照してください。
2. アプリ内でのアップデートを促すアプリに注意する
ゲームなど一部のアプリでは、アプリ内でコンテンツをダウンロードすることがありますが、アプリ内で直接、即時アップデートを促すアプリには注意が必要です。ほとんどの場合、ストアからダウンロードしたアプリは最新のバージョンになっているため、アップデートの必要はありません。同様に、アプリ自体をアップデートするのではなく、アプリストア経由でスマートフォンをアップデートすることにより、こうしたマルウェアによる攻撃を回避することができます。
3. 批判的な視点で確認する
多くの攻撃がそうであるように、サイバー犯罪者はユーザーが疑念を持たずにリンクをクリックしたり、ダウンロードボタンをタップしたりすることを期待します。アプリをダウンロードする前に簡単な調査を行うと、不審な点を見つけられる可能性があります。開発者がほかにもダウンロード可能なアプリを提供していないかどうか、レビューの評価は良いかどうかを確認します。正規のアプリには通常、多数のレビューが掲載されますが、悪質なアプリには(偽の)5つ星レビューはあまり掲載されません。最後にアプリの説明文とスクリーンショットの両方に誤字脱字や文法の不備がないかを確認します。これらはハッカーがアプリを適当に作ってすぐに配布した証である可能性があります。
4. 信頼できるソースのおすすめ情報を参考にする
自身でユーザーレビューを調べるよりもさらに確実な方法は、信頼できるソース(有名な出版社、署名なアプリストアの編集者など)のおすすめを確認することです。これにより、調査のほとんどを信頼できるレビューアーが代行してくれることになります。「フィットネス向けベストアプリ」、「旅行者向けベストアプリ」などでオンライン検索を行い、正規のサイトの記事を確認します。そうすることで、アプリをダウンロードする前に、有益なオプションや詳しい情報を検討できます。
5. サードパーティのアプリストアを使用しない
Google PlayやApple App Storeは、アプリの安全性を入念に審査・確認していますが、サードパーティのサイトではそのようなプロセスが確立されていません。実際、サードパーティのサイトの中には、大規模な詐欺の一環として悪質なアプリを意図的に掲載している場合があります。サイバー犯罪者はGoogleやAppleの審査プロセスを回避する方法を見つけている可能性はありますが、Google PlayやApple App Storeでは、どこよりも安全にアプリをダウンロードできます。また、GoogleとAppleは悪質なアプリを発見するとすぐに削除し、ストアの安全性を高めています。
6. セキュリティソフトウェアを使用してスマートフォンを保護する
スマートフォンにはパソコンやラップトップと同様にセキュリティソフトウェアをインストールすることが重要です。総合的なセキュリティソフトウェアを使用してすべてのデバイスを保護することも、Google PlayまたはApple iOS App Storeでセキュリティアプリを購入して、スマートフォンをマルウェアから保護することもできます。
7. スマートフォンのオペレーティングシステムを更新する
セキュリティソフトウェアのインストールに加えて、スマートフォンのオペレーティングシステムを最新の状態に保つことも重要です。更新は信頼できる保護対策です。サイバー犯罪者がマルウェア攻撃を行う際に利用する脆弱性を修正できます。これにより、ユーザー自身の安全性を保護できるだけでなく、スマートフォンを最高の状態に保つことができます。
モバイルマルウェアを常に警戒する
その他のポイントをいくつかご紹介します。
- スマートフォンを監視します。モバイルマルウェアの侵害は特定できる場合があります。スマートフォンが熱くなったり、パフォーマンスが低下したりした場合は注意する必要があります。
- アカウントを定期的にチェックします。詐欺やアイデンティティ盗難に遭った場合は、明細/決済アプリやネットバンキングのアプリに記録が残ることが少なくありません。不審な記録を見つけたら、追跡して報告する必要があります。
- 総合的なセキュリティ対策の観点から判断するようにしてください。自身の名前でアパートが借りられているなど、思いもよらないアイデンティティ盗難の被害を発見できる場合があります。
最後に「このアプリは本当に必要かどうか」を自問します。ダウンロードするアプリの数は少なければ少ないほど、悪質なモバイルアプリをダウンロードするリスクは低くなります。無料ゲームを信頼できるかどうかわからない、生産性向上アプリの特典が良すぎるなど、不審な点がある場合はダウンロードしないでください。他のアプリを探すか、ダウンロードすること自体を中止する必要があります。前述のように、サイバー犯罪者はユーザーが疑問を持たずにクリックしたりダウンロードしたりすることを期待します。モバイルマルウェアの警戒に要する時間はわずかです。最低限の時間をかけることで、スマートフォンのハッキングや被害コストの発生を回避できます。