宅配便の不在通知を装うSMSのばらまきが、相変わらず続いている。本物そっくりの偽サイトに誘導し、マルウェア感染やフィッシングを仕掛けてくる攻撃だ。その攻撃に使われている紛らわしいドメインを使った、新たな攻撃(DNS設定改ざん)の動きがある。
■連日続く佐川急便を装う偽の不在通知SMS
「お客様宛にお荷物のお届けにあがりましたが不在の為持ち帰りました。下記よりご確認ください。」というSMSが連日ばらまかれている。Android端末でアクセスすると、偽の「宅急便」アプリ(sagawa.apk)をインストールさせようとし、iPhoneなどのiOS端末でアクセスすると、Apple IDを騙し取るフィッシングを仕掛ける。
騙されて偽アプリをインストールしてしまう人が後を絶たず、「連絡先などの端末内の情報を盗まれる」、「偽の不在通知SMSを勝手に送信される」、「キャリア決済が使い込まれる」などの被害が報告されている。
一連の攻撃は、2017年12月から断続的に観測されていたが、2018年7月、偽アプリがインストールされたAndroid端末が不在通知を装うSMSを一斉に送信するようになり、激化した。8月には、誘導先にiPhone用のフィッシングサイトが用意され、その後しばらく小康状態が続いたが、10月から再びSMSのばらまきが増加し現在に至っている。
■偽佐川ドメインに「DNS設定改ざん攻撃」用のコンテンツ出現
SMSの誘導先には、主に「sagawa-●●●.com」(●●●は数文字の英字)という形式のドメイン(インターネット上の名前)が使われているが、今月14日からは過去に使用したドメインに、これまでの攻撃とは違うコンテンツが出現した。昨年3月、無線LAN(Wi-Fi)ルーターのDNS設定が書き換えられ、Android用の不正なアプリをダウンロードさせようとする問題が国内で発生し問題になったが、その時に使われたコンテンツが偽佐川急便のドメインに仕掛けられたのだ。
●「DNS設定改ざん攻撃」とは?
DNS(Domain Name System:ディーエヌエス)は、アクセス先の名前を実際の通信で使用する住所にあたるIPアドレスに変換する「名前解決」などの機能を提供している。ルーターには、どこに問い合わせるのかというDNS情報が設定されている。この問い合わせ先を、攻撃者が用意したサーバーに書き換えられてしまうと、端末をどこに接続させるかが攻撃者の意のままになる。正規サイトの名前の問い合わせに対し、嘘の住所を教えられると、正しいURLで偽サイトへと誘導されてしまう。
●偽佐川急便のドメインに仕掛けられたコンテンツとは?
偽佐川急便のドメインに仕掛けられたのは、その誘導先となる偽サイトのコンテンツで、日本語を含む27か国語に対応したもの。Android端末でアクセスすると、「Facebook拡張ツールバッグを取付て安全性及び使用流暢性を向上します。」と表示し、偽の「Facebook」アプリ(facebook1.0.23.apk)をインストールさせようとする。このコンテンツには、他の端末用に仮想通貨のマイニング機能も用意されているが、現時点では、動作しないようになっていた。
iPhoneなどのiOS端末用には、Appleのフィッシングサイトに誘導する仕組みが用意されており、攻撃者のDNS設定でアクセスした場合には、アップルのフィッシングサイトに誘導されるとみられる。
▲DNS設定改ざん攻撃用のコンテンツ:Android端末でアクセスした場合(左)、iPhoneでアクセスした場合(右)
これらの一連の攻撃については、カスペルスキー公式ブログの以下の記事に詳しい。
<参考URL:カスペルスキー公式ブログ>
・ルーターのDNS改竄によりダウンロードされる「facebook.apk」の内部構造を読み解く
https://blog.kaspersky.co.jp/malicious-facebook-apk/19968/
・DNS設定を乗っ取りAndroidデバイスに感染するRoaming Mantis
https://blog.kaspersky.co.jp/roaming-mantis/20105/
・Roaming Mantis続報:さらなる多言語化、フィッシング、そしてマイニング
https://blog.kaspersky.co.jp/roaming-mantis-update/20383/
・Roaming Mantis:iOSでの仮想通貨マイニングと、悪意あるコンテンツ配信システムを介した拡散
https://blog.kaspersky.co.jp/roaming-mantis-new-methods/21749/
■騙されてインストールすると、端末内から外部に情報漏えい
一連の攻撃に使われているAndroid用の偽アプリを、カスペルスキーでは「Roaming Mantis」と呼んでおり、前掲のカスペルスキー公式ブログの記事「Roaming Mantis:iOSでの仮想通貨マイニングと、悪意あるコンテンツ配信システムを介した拡散」では、「タイプA」と「タイプB」の2種類のRoaming Mantisを紹介している。
前述の「Facebook」アプリ(facebook1.0.23.apk)はタイプA、佐川急便の偽サイトで最近ばらまかれていた「宅急便」アプリ(sagawa.apk)はタイプBだ。14日以降は、SMSの誘導先にタイプAの「宅急便」アプリをばらまく偽サイトも出現している。
どちらも、感染すると端末内から連絡先のデータなどを外部に送信する機能やSMSを監視する機能を有しているという。くれぐれも騙されてインストールしないよう注意していただきたい。
■対策1:公式サイト以外でアプリをインストールしない
標準設定のAndroid端末は、公式ストア以外の場所で配布されているアプリのインストールをブロックするようになっている。以前に許可し、そのままになっている場合や、この偽サイトの指示に従って操作し、許可してしまわなければ、勝手にインストールされるようなことはない。
●公式サイト以外のアプリをインストール不可とする方法
Android 8.0より前のシステムの場合は、[設定]アイコンから[セキュリティ]などのメニューにある[提供元不明のアプリ]の「インストールを許可する」を確認しよう。もしオンになっていたら必ずオフにしておく。
Android 8.0以降のシステムは、アプリごとにインストールの許可を与える。[設定]アイコンから[アプリと通知]などのメニューに進み、[特別なアプリアクセス]→[不明なアプリのインストール]をタップすると、インストールを行う可能性のあるアプリが一覧表示される。[許可]になっているアプリがあったらタップし、[この提供元のアプリを許可]や[この提供元のアプリを信頼する] をオフにする。Webサイトからのダウンロードは、使用しているChromeなどのブラウザが行うので、必ずオフにしておこう。
■対策2:インストールしてしまったアプリはアンインストールする
偽アプリを誤ってインストールしてしまった場合には、通信を強制停止し、インストールしてしまったアプリをアンインストールする必要がある。
●通信を強制停止し、アプリをアンインストールする方法
スマホは、「機内モード」にすると通信機能が全てオフになるので、データ通信やSMSの送受信、電話の着信などが全て停止する。アンインストールは、[設定]アイコンから[アプリと通知]などのアプリ関連メニューに進み、全てのアプリ情報を表示、アプリをタップすると、アンインストールが選択できる。
■対策3:「DNS設定改ざん攻撃」に備える
DNS設定改ざん攻撃用のコンテンツがインターネット上で確認されたが、実際に改ざん攻撃が行われているかどうかは不明だ。起こり得るさまざまな攻撃には、下記記事の「IoT機器の安全対策:ルーターを守る4つのポイント」が対策になるのでぜひ実施していただきたい。
・ネット接続機器への「一斉調査」始まる――家庭のIoT機器をサイバー攻撃から守る「4つのポイント」
(2019/02/26 ネットセキュリティニュース)
TEXT:現代フォーラム/鈴木直美