ニュース
» 2013年12月03日 18時36分 UPDATE

不正アプリは「Google Play」の中にアリ トレンドマイクロがサイバー犯罪の最新手口を解説

トレンドマイクロは12月3日、スマホ向け脅威動向セミナーを開催。多様化・巧妙化するAndroidスマホの不正アプリの実態とその対策を解説した。

[村上万純,ITmedia]

 トレンドマイクロは12月3日、サイバー犯罪者の視点に立った犯罪の手口とその対策を考える「スマートフォン向け脅威動向セミナー」を開催。同社のフォワードルッキングスレットリサーチ シニアリサーチャー林憲明氏が登壇し、多様化・巧妙化するAndroidスマートフォン向け不正アプリの現状と対策を語った。

不正アプリは「Google Play」の中に有り

photo トレンドマイクロの林憲明氏

 林氏は「2010年8月に世界初のAndroid向け不正アプリが発見されて以来、犯罪手口は多様化・巧妙化し、現在ではAndroid端末の正規マーケットである「Google Play」に不正アプリが混入する例が後を絶たない」と説明する。日本の場合、その実態のほとんどが出会い系業者、サクラサイト業者で、その手法としてワンクリック詐欺が多用されているという。


photophoto 「Google Play」の中にも不正アプリは横行している(写真=左)。初回審査と巡回審査を回避するため、犯罪の手口はより多様かつ巧妙になっている(写真=右)

 Googleというブランドと巨大ネット企業への信頼感や、Android端末に標準搭載されている安心感もあり、ユーザーにとってGoogle Playは身近な存在。サイバー犯罪者にとっても魅力的なマーケットだが、Google側も初回審査だけでなく巡回審査で不正アプリを検出しようと努めている。しかし、「それらの審査を巧妙にかいくぐる不正アプリが横行している現状がある」と林氏は指摘する。

“アップデート”で、無害なアプリが有害アプリに変化

 審査回避の手段として使われるのが「機能限定と時間差攻撃」だと林氏は話す。機能限定とはブラウザ機能など最小限の機能のみを持たせることで、正規アプリを装うことだ。実際の詐欺行為は誘導先のサイトで実施するため、アプリ自体に不正なソースコードは見られない。また、正規アプリのソースコードをコピー&ペーストして改変したものを大量生産したり、同一の犯罪グループが異なる開発者を装うなどの手口が見られるという。

photophoto 機能限定は必要最小限の権限要求をするため、一見して詐欺アプリだと見抜くことが難しい(写真=左)。無害アプリを装い、更新機能により不正アプリ導入を促す時間差攻撃などもある(写真=右)

 時間差攻撃は、ダウンロードする際は無害なアプリでも、更新機能(アップデート)によって有害アプリに変える手法のこと。有害アプリ化すると、犯罪者側のサーバーにある不正アプリを自動でプッシュ配信するなどの挙動を見せる。機能限定に比べてアプリの生存期間が長いが、加害者側が自前でサーバーを用意する必要があるなど、参入障壁も高い。機能限定は簡単に大量生産できる一方で、目視確認で不正を検出できる傾向がある。

 林氏は、「加害者にとっては一攫千金か小さな成功か選択することになるが、どちらか一方に偏るわけではない。状況に応じた使い分けが進んでいくと予測される」と説明する。

サイバー犯罪を容易にするツールキット

 林氏は今後、不正なソースコードを分散させ、ユーザー側でその分散したパーツを組み立てさせる手法が現れるのではないか、と予測する。例えば「辞書アプリ」と「言語データ」を装い、セットで使用させるケースが当てはまるという。

 また、現状ではAndroidアプリは「(CPUが理解する)バイナリコードから(人間が理解する)ソースコードへの可逆性が高く、なりすましが容易」という傾向がある。正規アプリを無断で改変して再配布する「リパッケージ」のほか、不正アプリを誰でも簡単に利用できるツールキットの存在も挙がった。

photophotophoto 専用ツールが無料で入手できるなど、不正アプリを悪用することは容易になっている現状がある(写真=左)。ツールキットの構成要素は3つ(写真=中)。ツールキットの仕組み(写真=右)

 ツールキットは正規アプリと遠隔操作アプリの結合ツールで、2つのアプリを結合する「バインダー」、犯罪者が遠隔操作を行う「操作パネル」、被害者のスマートフォンに潜伏する「遠隔操作アプリ」の3つから構成される。林氏がこのツールの実演を行ったが、アプリ起動後も、ユーザー側では不正アプリと見抜くことは難しい。アプリ側の権限要求が増えるとユーザーが異変に気付くので、あらかじめ要求の多いアプリを選ぶ犯罪者もいるという。一方で、犯罪者側ではユーザーの連絡先情報、各種保存データ、メールの内容、位置情報などを入手できるほか、音声通話の盗聴も可能となっている。このようなサイバー犯罪が可能なツールは、現在無償で入手できるという。

photophoto 不正アプリをAndroidスマートフォンで起動した画面。一見して有害なアプリと見抜くのは難しい(写真=左)。遠隔操作で連絡先などのデータを盗み取られる(写真=右)

ユーザーは最新のセキュリティアプリを

 こうした現状を踏まえ、トレンドマイクロはクラウド型アプリ評価技術「Trend Micro Mobile App Reputation」をAndroid向けの「ウイルスバスター モバイル」に採用している。クラウドで大量のアプリ検証を自動的に実施するほか、アプリを実際に動作させてチェックしたり、誘導先のサイトの危険度も数値化するなど、多角的に不正アプリの検出を行う。国内だけでなく全世界のマーケットからサンプルを収集するため、人気ゲームに便乗した不正アプリを見抜くことも可能だという。

photophoto トレンドマイクロが提供するクラウド型アプリ評価技術(写真=左)。全世界のマーケットを探索し、サンプルを収集している(写真=右)

 「ユーザーは、犯罪者の手口を熟知しているセキュリティベンダーを選び、最新のセキュリティアプリを導入するといい。端末のOSアップデートも怠らず、常に最新版にしておく必要もある」と林氏は話した。

Copyright© 2016 ITmedia, Inc. All Rights Reserved.