Androidアプリを使ったワンクリック詐欺が、iOSデバイスも標的にしていることが分かった。
シマンテックは6月4日、iPhoneやiPadなどのiOSアプリを使ったワンクリック詐欺を確認したとして注意を呼び掛けた。この詐欺は「ジェイルブレイク」(脱獄=iOS製品のロック解除)の有無に関係ないという。
同社では5月31日にも、Androidアプリを使ったワンクリック詐欺攻撃への注意を呼び掛けたばかり。iOSアプリを使う手口は、この詐欺行為の一環で行われているとしている。
手口ではアダルトサイトを閲覧したユーザーに画面上の「再生ボタン」をクリックさせて、アプリのインストールを促す。インストール時に「信頼されていないAppデベロッパ」という警告メッセージが表示されるものの、iOS製品にアプリをインストールできてしまう。アプリを起動すると、会員登録をしたとの説明画面が表示され、料金の支払いをユーザーに要求する。
iOSアプリは、AppleのApp Soreからインストールするのが一般的。だが、App Sore以外からインストールさせる方法として、開発者向けの「アドホックプロビジョニング」や、企業向けの「iOS Developer Program」、などがある。いずれも参加登録や費用が必要になることからサイバー攻撃ではほとんど使われていないといい、シマンテックはプロジェクト参加者などのアカウントが攻撃者に不正利用した可能性を指摘。ワンクリック詐欺に悪質なiOSアプリが使われたのは初めてだという。
アプリ自体は製品に害を及ぼすことがなく、個人情報などを収集することもないという。アプリをインストールしてもすぐにアンインストールし、支払い要求を無視すればいいと、同社は解説している。
Copyright © ITmedia, Inc. All Rights Reserved.