ITmedia NEWS > 科学・テクノロジー >
セキュリティ・ホットトピックス

「正規の銀行に電話すると詐欺師につながるアプリ」──韓国の巧妙な“振り込め詐欺”を分析 防御アプリも開発Innovative Tech

» 2022年07月20日 07時00分 公開
[山下裕毅ITmedia]

Innovative Tech:

このコーナーでは、テクノロジーの最新研究を紹介するWebメディア「Seamless」を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。

 韓国のKAISTによる研究チームが発表した「HearMeOut: Detecting Voice Phishing Activities in Android」は、昨今の韓国で被害が多いアプリを使った新たなボイスフィッシングを分析し考察した論文だ。またアプリを使ったボイスフィッシングを検出してくれる、Android向けシステムも開発した。

 ボイスフィッシングは、詐欺師が電話で被害者に接触して個人情報を搾取し、これらの被害者をだまして詐欺師に金銭を振り込ませる悪名高い詐欺行為である。日本でいうオレオレ詐欺だ。

 韓国では、2016年から2020年にかけて年間被害者数は1万7516人から3万4527人に増加し、2020年の年間金銭的損失は約5億9800万米ドルに増加した。韓国は日本とは違い、高齢者を狙ったオレオレ詐欺ではなく、若者や中年を狙った貸付詐欺が多くを占める。

 貸付詐欺とは、例えば銀行を装って電話し「低金利なのでカードローンを乗り換えませんか、取引実績を作るために最初にいくらか振り込んでください」というものだ。

 残念ながら、テクノロジーの発展やボイスフィッシングビジネスがもうかるようになるにつれて、ボイスフィッシングの手法も進化した。ボイスフィッシングアプリというものだ。

 詐欺師は低金利での融資の機会を提供することで、フィッシングアプリをインストールするよう被害者を誘惑する。被害者がフィッシングアプリをインストールし、正規の銀行に電話をかけると、その発信は詐欺師にリダイレクトされる。被害者は正規の電話番号を使って電話をかけたため、電話の相手が本物だと思い、機密情報や個人情報を開示し振り込んでしまう。

偽の発信/着信画面の例

 韓国のアンチウイルス企業であるAhnLabとFinancial Security Institute(FSI)から、1017のAndroidボイスフィッシングアプリを収集した結果、コールリダイレクト、通話画面オーバーレイ、偽通話音声という3つの新しいフィッシング機能を特定した。

 分析の結果、これらの機能が連動してコールリダイレクトを行い、音声によるフィッシングキャンペーンを促進していることが分かった。調査対象となったフィッシングアプリのうち、978アプリ(96.1%)は、被害者が公的な番号案内サービス(114番)、銀行、ローン会社、政府機関に電話をかけると、詐欺師へ発信をリダイレクトさせるというものであった。

 またユーザー調査の結果、87%の参加者がリダイレクト時に発信先が変更されたことに気付かなかった。特筆したいのは、この87%の人のうち半数は過去にボイスフィッシングの電話を受けた経験があり、ボイスフィッシングの脅威をよく理解していたことだ。そのため、87%という高い成功率はリダイレクションの効力を強く証明した結果となった。

 ボイスフィッシングアプリの脅威の現状を理解するために、Google Playからボイスフィッシングアプリの検出に特化して設計された既存の脅威防御アプリを分析した。その結果、完全にはこのボイスフィッシングを防御できていないことが分かった。

 これらの欠点を解決するために研究チームは、コールリダイレクトを含むフィッシング行為を実行時にAndroidシステムレベルで検知し、ユーザーに通知する「HearMeOut」を開発した。全てのフィッシングアプリが5つのサービスマネジャー(TelephonyやMediaなど)のAndroid APIを悪用しているという観察結果に基づき、Android APIフレームワーク層で検出器を実装し、Android APIを悪用するフィッシング活動を特定する。

HearMeOutのアーキテクチャ

 フィッシング行為の検知には、APIの呼び出し時間、実際のパラメータ、呼び出し元のアプリが重要な役割を果たすため、これらの情報を活用する。また、HearMeOutは特定されたフィッシング行為をブロックする。特にコールリダイレクトが発生した場合、HearMeOutは警告ダイアログをアクティブに表示し、このフィッシング行為の可能性を通知する。

 HearMeOutのフィッシング行為検出の有効性を評価した結果、53の良性アプリと12のフィッシングアプリのさまざまなタイプの良性およびフィッシング行為に対して100%の精度を達成し、偽陽性はゼロであった。また、HearMeOutの実行オーバーヘッドは無視できるほど小さく、HearMeOutが検出するために必要な追加レイテンシは平均0.36msであった。

Source and Image Credits: Joongyum Kim, Jihwan Kim, Seongil Wi, Yongdae Kim, and Sooel Son. 2022. HearMeOut: detecting voice phishing activities in Android. In Proceedings of the 20th Annual International Conference on Mobile Systems, Applications and Services (MobiSys ’22). Association for Computing Machinery, New York, NY, USA, 422-435. https://doi.org/10.1145/3498361.3538939



Copyright © ITmedia, Inc. All Rights Reserved.