最近の記事

アーカイブ

もっと見る

2019年2 月

          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28    

カテゴリー

フィードを購読

リンク

  • サイト検索
    Loading
  • 受注のご案内
    セキュリティ意識が高い企業や公的機関、コンテンツプロバイダー様の需要にお応えし、デイリーでセキュリティニュースを配信します。 ご要望のテーマに沿ったニュースの編集、コラムの受注も可能です。 サイトに掲載いただくだけでなく会員の方々へのメール配信も可能です。 詳しくは、弊社ホームページよりお問い合わせください。
  • 現代フォーラム
    現代フォーラムHPへ

ブログのURL


このブログのURLをメールで送信

« 2012年10 月 | メイン | 2012年12 月 »

2012年11 月

◆「トロイの木馬」~実行被害を防ぐ基本対策(2012/11/30)

  便利なアプリを装い、ユーザーに実行させようとする悪質なアプリが次々に見つかっている。パソコン環境では、ウイルス感染で乗っ取られたパソコンが知らない間に遠隔操作され、犯罪予告が行われた。スマートフォン環境では、知らない間に電話帳のデータなどが抜き取られてしまう被害も多発している。
ユーザーをだまして侵入しようとする悪質なプログラムを、巨大な木馬の中に潜んで敵を欺き、城内侵入に成功したギリシア神話になぞらえ、「トロイの木馬」と呼んでいる。この現代版トロイの木馬を招き入れないように、基本的な対策についてお話ししよう。

<INDEX>

■侵入を試みる「だましの技」
    ・オンラインスキャンに見せかけた偽セキュリティソフトの配布
    ・電話帳のデータを抜き取る不正なAndroidアプリ
    ・リンク先にはウイルスがいっぱい
    ・請求画面が消えないワンクリックウェア
■実行被害を防ぐために
    ・「ユーザー自身の脆弱性」を解消する
    ・「信頼できるもの」を見分ける
    ・Androidアプリの「パーミッション」を確認する
■Androidアプリの危険なパーミッション

 

<本文>

 ■侵入を試みる「だましの技」
 
ユーザーにダウンロードさせる不正なアプリは、ホスティングサービスを利用して開設したWebサイトや、不正アクセスした一般サイト、ファイルをアップロードできるアップローダーやオンラインストレージなど、至るところに置かれている。ユーザーをそこに誘導するための手段には、メールやメッセンジャー、Webサイト、掲示板、交流サイト、ブログといった、あらゆるコミュニケーション手段が使われ、時には検索サイトの検索結果や広告、知人からのメッセージなどから誘導されることもある。まずは、国内で起きた代表的な事例から見てみよう。

・オンラインスキャンに見せかけた偽セキュリティソフトの配布

ウイルス感染やシステムエラーなどでユーザーの恐怖心をあおり、役に立たないセキュリティソフトやメンテナンスソフトを購入させようとするインチキ商売がある。図1は、ブラウザ上で偽のオンラインスキャンを行い、ウイルスの検出を警告。駆除と称してユーザー自身に偽セキュリティソフトをダウンロード/実行させようとするタイプである。

 偽のセキュリティソフトやメンテナンスソフトには、ソフトや購入サイトが日本語化されているものもあり、また、ブラウザやプラグインの脆弱性を突いて強制的にインストールしてしまうものもある。このため、被害にあう国内のユーザーが多い。ひとたびインストールしてしまうと、今度は偽のウイルス警告やエラー警告を出して購入を迫り続ける。システム内に居座って、買うまで警告を出し続けるのが定番だ。購入には、正規の決済サイトを使用した販売主体のものもあれば、カード情報を盗み取るのが目的と思われる怪しいものまであるので注意したい。

図1 偽のオンラインスキャン

201211_1[1]

・電話帳のデータを抜き取る不正なAndroidアプリ

今年になって頻発しているのが、スマートフォンの電話帳からデータを盗み取るAndroidアプリである。10月に大阪と東京の出会い系業者が相次いで摘発されたが、別の業者らしき者が現在も配布活動を続けているので、引き続き注意したい。

この業者は、バッテリー節約アプリや電波改善アプリ、ウイルス対策アプリなどと称した無料のアプリを紹介する迷惑メールを送りつけ、図2のような公式サイトによく似たデザインのサイトへと誘導する。人気のある便利なアプリに見せかけ、ユーザー自身にインストールさせようとする。ところが、個々のアプリには、うたわれているような便利な機能は一切なく、実行すると電話帳のデータを抜き取り、外部のサーバーに送ってしまう。

10月に警視庁が摘発した東京の業者の場合には、公式サイトで配布されていたこともあり、インストールしてしまったユーザーは9万人以上、電話番号とメールアドレスあわせて1千万件以上が不正取得されていたという。

図2 公式サイトに見せかけた不正なAndroidアプリの配布サイト

201211_2[1]

  便利なソフトに見せかけてインストールさせようとする手口は、不正なAndroidアプリに限らず、トロイの木馬型のウイルス感染に広く用いられている古典的な手法だ。10月に発覚した、感染パソコンのユーザーになりすまして犯罪予告を行っていた事件でも、この手法が使われた。一連の事件では、ネット掲示板に便利なソフトの紹介に見せかけて、オンラインストレージに置いたトロイの木馬へのリンクが投稿されていた。興味をもってダウンロード/実行した結果が、パソコンを遠隔操作されての犯罪予告と誤認逮捕だったのである。(図3)

 同じ月には、Skypeのチャットで拡散していたウイルスが、ユーザーになりすまして「ちょっとこれはあなたの新しいプロフィールの写真ですか? ~短縮URL~」という日本語の誘導メッセージを送っていたことも話題になった。知り合いからのメッセージと思い、リンクの先のオンラインストレージに置かれたファイルをダウンロードして中の実行ファイルを実行してしまうとアウト。ウイルスに感染し、今度は自分のコンタクト先(連絡先)に登録した人に、勝手にメッセージが送られてしまう。この連鎖で、感染を広げていく仕掛けだ。知り合いからのメッセージだからといって、油断は禁物である。

図3 便利なツールにみせかけた掲示板への投稿

201211_3[1]

・請求画面が消えないワンクリックウェア

国内で被害が絶えないのが「クリック詐欺」である。アダルトサイトなどで画面を数回クリックすると登録完了画面が突然現れ、高額な料金を請求される架空請求のひとつだ。このクリック詐欺に7~8年前から使われるようになったのが、デスクトップ上で繰り返し請求画面を表示し続けるワンクリックウェアとよばれるアプリだ。昨年末からは、従来のWindowsパソコン用に加え、Androidアプリを用いたスマートフォン向けのサイトも出現した。一部の業者が摘発されてはいるものの、まだまだ根強く残っている。

ワンクリックウェアの場合は、動画再生と称してユーザーにダウンロード/実行するよう仕向けるのが一般的な手口だ(図4)。指示されるがまま実行してしまうと、消えない請求画面や、消してもまた出てくる請求画面に悩まされることになる。最近は、規約の片隅に支払いが確認されるまで請求画面を表示し続けるなどと記載し、ウイルス罪の適用を逃れようとする業者も多い。

図4 動画再生と見せかけて実行させようとするアダルトサイト

  201211_4[1]

■実行被害を防ぐために

・「ユーザー自身の脆弱性」を解消する

脆弱性攻撃を受けて悪質なプログラムが勝手に実行されてしまう被害は、システムを常に最新の状態にし、脆弱性のない状態を保つことで防ぐことができる。同様に、ユーザー自身が実行してしまう被害は、「ユーザー自身の脆弱性」を解消することで防ぐことができる。ユーザー自身の脆弱性とは、ネット上には危険なものがあるということを認識していない警戒心のなさや、ウソをウソと見抜けずにだまされてしまうことだ。

ネット上には、信頼できるものもあれば、信頼できないものもある。信頼できるものだけしか実行しない、あるいは一切手を出さないような方は、特に対策しなくても自身の実行に起因する被害は、ほとんど起きないと思ってよい。稀にメーカー製の製品にウイルスが混入しているケースもあるのでゼロとはいえないが、限りなくゼロと考えられるだろう。

ネット上には危険なものがあるのだということを認識していない方は、悪意の罠にひっかかってしまう可能性が非常に高いので、認識を改めていただきたい。特に何でも興味を持って手を出してしまう方は、高確率で悪質なプログラムを引き当ててしまう可能性がある。悪意の攻撃者は、信頼できないものやどちらともはっきりしないグレーなものを、信頼できるものに見せかけるためにユーザーを欺こうとするので、だまされやすい方も要注意だ。

・「信頼できるもの」を見分ける

 では、信頼できるものやできそうなものを、どうやって判断すればよいのだろうか。安全である可能性を単純な確率として比較すると、非公式サイトよりも公式サイト、無名なメーカーや作者よりも著名なメーカーや作者のもの、新参よりも老舗、利用者が少ないものよりも多いもの、無料のものよりも有料のものの方が、安全である確率は高い。

 言い換えると、『非公式サイトで配布されている、作者も利用者もよく分からない、掲載間もない無料のソフト』は、何が起きてもおかしくない危険度の極めて高いものだということだ。手当たり次第に実行してしまうような方は、配布場所や作者を選ぶだけでも、悪質なプログラムを引き当てる確率を大幅に抑えることができるので実践していただきたい。自身で判断がつかないような場合には、信頼できる人や多くの人に好評を得ているものをセレクトすると、間違いが起きにくい。

・Androidアプリの「パーミッション」を確認する

Androidアプリの場合には、アプリが使用する特別な機能を、予め宣言しておかなければならない。どのような機能を使用するかは、アプリのインストール前に表示して確認できるようになっており、インストール後もいつでも再確認することが可能だ。インストール時に表示される「許可(パーミッション)」という項目がそれで、インストール済みのものに関しては、メニューから「アプリケーションの管理」や「アプリの管理」に進み、閲覧したいアプリをタップすると、「許可」の項目に使用する機能が記載されている。

このパーミッションの中に、悪用されると問題が発生する可能性の高いものがある。その見分け方は、下記を参照いただきたい。

 

■Androidアプリの危険なパーミッション

国内のスマートフォンで使用率の高いAndroid 2.3および4.0で、「危険」に分類されている基本的なパーミッションを表1にまとめた。「アカウント」グループに含まれる、Googleの各種サービス(GmailやYouTubeなど)に関するパーミッションについては、割愛した。

 重要な設定変更や情報漏えい、なりすましなどに悪用される恐れのあるこれらパーミッションは、アプリの「許可」項目に標準で表示されるようになっている。また、インストール時にそれぞれのラベルをタップすると、簡単な説明も閲覧できる。

 注意しなければいけないのは、これらはアプリが要求しているパーミッションの概要を、システムが便宜的に表示しているに過ぎない点だ。実際にこれらを使ってアプリが何を行うのかは、配布元が個別に十分な説明をする必要がある。配布元の説明が理にかなっているか、信頼できるのかという問題もあるが、十分な説明がなされていないアプリに関しては、怪しいと疑ってみることが肝心だ。

 

表1 「危険」に分類される基本的パーミッション

  表
--------------------------------------------------------------------------------

                                      (執筆:現代フォーラム/鈴木)

投稿情報: 17:56 |

|