スマホの「偽アプリ」にだまされ続ける人に、もう一度だけ確認してほしいこと:半径300メートルのIT(1/2 ページ)
気軽にVTuberになれると話題のアプリ「カスタムキャスト」に偽アプリが登場して話題になりました。過去にもPokemon GOなどで同様の事件が起きていますが、こうした攻撃は一向に減る様子がありません。現実世界で話題になっていることは、そのままサイバー世界でも格好のフィッシングネタとして活用されるのです。
セキュリティベンダーの記者発表会に行くと、モバイルデバイスの脅威に関して多くの方が「脅威は引き続き存在する」と述べると同時に、最近は「その9割以上がAndroidアプリだ」と、はっきりとコメントするようになりました。
9割のうちのほとんどは、Google Play以外の野良アプリストア経由で端末にインストールされるということから、「提供元不明のアプリのインストールを許可する」をオンにしないことさえ守れば、ほとんどの脅威から守れるのではないかと思います。
もし、著名なベンダー製アプリでこの設定を変更せよ、と指示しているものがあったとしても、うのみにすることは大変危険です。「もしかしたら、それがフィッシング詐欺かも?」と疑うくらいでちょうどいいでしょう。そんな時代であるにもかかわらず、人気ゲーム「フォートナイト」がGoogle Playを経由しないと選択したことは、個人的にとても気になっていますが……。
それでも正規のアプリストアに入り込む「偽アプリ」
とはいえ、正規のGoogle Playストアにも、マルウェア的な動作を行うアプリは登録されます。そのほとんどは、しばらくするとGoogle Play側が削除するような仕組みがあるものの、その時間差を突いてユーザーにインストールさえさせればサイバー犯罪者の勝ちです。このような手法もまだまだあります。
特に最近驚いたのは、古いAndroid端末のためアプリが対応しない(=ストアに表示されない)ことを悪用し、偽アプリを古いAndroid端末向けに登録するという、ドワンゴのアプリ「カスタムキャスト」の偽物で使われた手法です。最近の端末を使っている方ならば、偽アプリであることは分かるものの、古いAndroid端末からは唯一登録されているアプリに見えるので、だまされる可能性は高いのではないでしょうか。
これに関しては、責任があるのは最新バージョンにしか対応していないアプリベンダーではなく、Androidの古いバージョンを使っている利用者、ひいては最新バージョンのOSを提供しないスマートフォンベンダーと、それを販売する携帯電話キャリアといえるかもしれません。
ちなみにAndroid 8.0以降では「提供元不明のアプリのインストールを許可する」の挙動がアプリごとに設定が可能になったため、それ以前のバージョンに比べれば安全になったといえるでしょう。その意味でも、多くのスマートフォンベンダーが適切にバージョンアップの手段を提供してほしいと思っています。
Copyright © ITmedia, Inc. All Rights Reserved.