連載
» 2018年10月16日 08時00分 公開

半径300メートルのIT:スマホの「偽アプリ」にだまされ続ける人に、もう一度だけ確認してほしいこと (1/2)

気軽にVTuberになれると話題のアプリ「カスタムキャスト」に偽アプリが登場して話題になりました。過去にもPokemon GOなどで同様の事件が起きていますが、こうした攻撃は一向に減る様子がありません。現実世界で話題になっていることは、そのままサイバー世界でも格好のフィッシングネタとして活用されるのです。

[宮田健,ITmedia]

 セキュリティベンダーの記者発表会に行くと、モバイルデバイスの脅威に関して多くの方が「脅威は引き続き存在する」と述べると同時に、最近は「その9割以上がAndroidアプリだ」と、はっきりとコメントするようになりました。

 9割のうちのほとんどは、Google Play以外の野良アプリストア経由で端末にインストールされるということから、「提供元不明のアプリのインストールを許可する」をオンにしないことさえ守れば、ほとんどの脅威から守れるのではないかと思います。

 もし、著名なベンダー製アプリでこの設定を変更せよ、と指示しているものがあったとしても、うのみにすることは大変危険です。「もしかしたら、それがフィッシング詐欺かも?」と疑うくらいでちょうどいいでしょう。そんな時代であるにもかかわらず、人気ゲーム「フォートナイト」がGoogle Playを経由しないと選択したことは、個人的にとても気になっていますが……。

それでも正規のアプリストアに入り込む「偽アプリ」

 とはいえ、正規のGoogle Playストアにも、マルウェア的な動作を行うアプリは登録されます。そのほとんどは、しばらくするとGoogle Play側が削除するような仕組みがあるものの、その時間差を突いてユーザーにインストールさえさせればサイバー犯罪者の勝ちです。このような手法もまだまだあります。

 特に最近驚いたのは、古いAndroid端末のためアプリが対応しない(=ストアに表示されない)ことを悪用し、偽アプリを古いAndroid端末向けに登録するという、ドワンゴのアプリ「カスタムキャスト」の偽物で使われた手法です。最近の端末を使っている方ならば、偽アプリであることは分かるものの、古いAndroid端末からは唯一登録されているアプリに見えるので、だまされる可能性は高いのではないでしょうか。

photo Google Play内にあるアプリ「カスタムキャスト」のページ

 これに関しては、責任があるのは最新バージョンにしか対応していないアプリベンダーではなく、Androidの古いバージョンを使っている利用者、ひいては最新バージョンのOSを提供しないスマートフォンベンダーと、それを販売する携帯電話キャリアといえるかもしれません。

 ちなみにAndroid 8.0以降では「提供元不明のアプリのインストールを許可する」の挙動がアプリごとに設定が可能になったため、それ以前のバージョンに比べれば安全になったといえるでしょう。その意味でも、多くのスマートフォンベンダーが適切にバージョンアップの手段を提供してほしいと思っています。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ

マーケット解説

- PR -