7月下旬から8月上旬にかけ、宅配便の不在通知を装うSMSが連日大量にばらまかれました。「ご確認ください」と書かれたリンクは、本物そっくりの偽サイトに誘導し、公式アプリを装う偽アプリをインストールさせようとするものでした。騙されてアプリをインストールしてしまった端末は、偽の不在通知SMS(ショートメール)をばらまき始め、その裏でキャリア決済の限度額までギフトカードを買われてしまったそうです。今回は、本物のアプリを装う偽アプリの見分け方を解説します。
<INDEX>
■(1) 不在通知を装うSMSが届く…多くの人が疑わない理由
■(2) 誘導される偽サイト…多くの人が気づかない理由
■(3) 偽アプリのダウンロード…「不可能」が「可能」になる理由
■基本対策――「アップデート」を欠かさない
■盲点対策――「公式ストア」の危険アプリに注意
<以下本文>
スマートフォン(スマホ)は、パソコンよりもマルウェア(ウイルス)に感染しにくい安全設計になっています。市場を二分するアップルのiOS端末(iPhoneやiPad等)も各社のAndroid端末も、何でも行えるシステムの管理権限はユーザーにはなく、システムを更新できるのは公式アップデートだけです。ユーザーが新規にインストールできるのは、Android端末はグーグルの「Google Play」で、iOS端末はアップルの「App Store」で配布されているアプリだけというのが原則です。どちらも審査を受けた公式ストアのアプリなので悪質なものは少ないのですが、宅配便の不在通知を装うSMSに端を発した今回の被害は、この原則を超えたところで起きてしまいました。いったい何が起きたのか、どうすれば被害にあわずに済むのかを、順を追ってみてみることにしましょう。
■(1) 不在通知を装うSMSが届く…多くの人が疑わない理由
不在通知を装うSMSによる感染は、2017年12月に始まり、小規模な攻撃が断続的に続いていました。今年5月から偽サイトやアプリがリニューアルされ、7月19日頃から爆発的なSMSのばらまきが始まりました。アプリをインストールしてしまったユーザーのスマホが外部から操られ、次々に不在通知を装うSMSをばらまきはじめたのです。このアプリは、Android専用なので、iOS端末やパソコンには影響ありません。
Android端末は、公式ストア以外のアプリ(提供元不明のアプリ)をインストールする機能があります。標準では無効になっているのですが、誘導先の偽サイトでは、ユーザーを騙し、この機能を有効に設定させてインストールするよう誘導していました。
大手宅配便会社でSMSの不在通知を採用しているところは、いまのところはありません。不在票の投かんが基本で、一部の依頼主や届け先が事前に登録しておくと、メールの通知が利用できるところがある程度です。とはいえ、これだけスマホが普及し、荷物の発送時には相手電話番号を記入しますから、SMSの不在通知があっても不思議ではありません。このSMSを受け取った方の中には、ポストに投かんされた不在票よろしく、発信元に電話をかけた方も多かったようです。
図1 宅配便の不在通知を装うSMS例
Webサイトで荷物の配送状況の確認や再配達の依頼を行うサービスが、広く普及しています。届いた不在通知のURLは、「https://sagawa-●●.com」(●●は色々なアルファベット数文字)となっているので、佐川急便の公式サイト(sagawa-exp.co.jp)とは違いますが、公式サイトを知らない人はもちろん、知っていても疑うことなくタップ(クリック)してしまいそうです。
ちなみにSMSは純粋なテキストなので、メールのようにURLを偽装することはできません。しかし、メールやSMSを一緒に扱うようになっていると、見誤ってしまうかもしれません。SMSは電話番号あてに届く短文で、文字数を表示するように設定していると入力欄に文字数が表示されます。
URLの誘導先には、佐川急便の公式サイトそっくりの偽サイトが設置されています。普段から利用しているサイトであれば、URLの違いに気付くかもしれません。よく見ると、サイトの見た目も本物とは少し違いますが、URLの違いに気付かなければ見逃してしまうレベルかも知れません。
図2 佐川急便の公式サイト(左)と偽サイト(右)
偽サイトは、画面のどこをタップしても「sagawa.apk」をダウンロードしようとします(サイトを開いた途端にダウンロードする場合もあります)。こうしたふるまいは、きわめて怪しいので注意しなければいけません。
図3 ダウンロードの確認画面。「OK」を選択してはいけない。
偽サイトでダウンロードを促されるのは、公式アプリに見せかけた偽アプリです。Android専用なので、iOS端末でダウンロードしても何も起きません。8月に入ってからは、iOS端末はフィッシングサイトへと移動する仕様になったので、アプリのダウンロード自体がありません。その代わり、電話番号と番号あてのSMSで届く認証コードを騙し取られ、キャリア決済の限度額までギフトカードを買われてしまう被害が出ています。iOS端末についても、無害ではなくなってしまったのです。
■(3) 偽アプリのダウンロード…「不可能」が「可能」になる理由
標準設定のAndroidは、公式ストア以外のアプリのインストールをブロックします(図4)。ところが偽サイトには、このブロックを回避してインストールする方法が丁寧に解説されています。ユーザーを欺き、アプリをインストールさせる常套手段です。公式ストア以外のアプリは「提供元不明のアプリ」といいますが、許可してインストールするよう求められたら、決して指示に従ってはいけません。
図4 公式ストア以外のアプリをブロックするAndroid端末(左:バージョン8以降、右:バージョン8より前)
バージョン8より前のAndroidの場合は、図5のように「提供元不明のアプリのインストールを許可する」をオンにすると、不正なアプリが侵入できるようになってしまいます。[設定]アイコンから、[セキュリティ]などのメニューにある[提供元不明のアプリ]の「インストールを許可する」がオフになっていることを確認しておきましょう。
バージョン8以降のAndroidの場合は、ダウンロード/インストールを行うアプリごとに、インストールの許可を与える方式になりました。このようなWebからダウンロードする場合は、Chromeなどの使用しているブラウザに対して設定しますが、許可を与えてはいけません。[設定]アイコンから[アプリと通知]などのメニューに進み、[特別なアプリアクセス]→[不明なアプリのインストール]をタップすると、インストールを行う可能性のあるアプリが一覧表示されます。[許可]になっているアプリがあったらタップし、[この提供元のアプリを許可]や、[この提供元のアプリを信頼する] をオフにしておきましょう。
図5 提供元不明のアプリのインストール許可を問う画面(左:バージョン8以降、右:バージョン8より前)。許可すると不正アプリ侵入を許すことになるので許可してはいけない。
Androidを狙う悪質なアプリのほとんどは、提供元不明のアプリです。インストールを許可しさえしなければ、マルウェア感染のほとんどを防ぐことができます。アプリの安全性を見極める自信のある方以外、提供元不明のアプリのインストールは絶対に許可しないようにしましょう。
指示に従ってインストールを許可してしまったり、何らかの事情で以前から許可したままになっていると、図6のようなインストールを開始する最終画面が表示されます。ここで[インストール]をタップすると、アプリがインストールされてしまいます。アプリによっては、インストールすると自動的に起動し活動を始めてしまうので、後戻りはできません。
図6 インストール確認画面(アプリの権限を一覧表示)。この画面が出る前に操作を止めよう。
最終画面では、図6のようにインストールするアプリが求める権限が一覧表示されます(事前の表示はなく、アプリの実行後に許可を求める場合もあります)。単純なアプリであれば、求める権限から怪しさを判断できるかもしれませんが、提供元不明のアプリのインストール許可を求めるようなアプリには通用しません。あくまで最後の一線をお見せするための操作例ですので、この画面が出る前に操作を止めましょう。
今回ご紹介した事例は、公式ストア以外からアプリをインストールできるAndroid端末を狙った攻撃です。提供元不明のアプリのインストールを許可しなければ防ぐことができ、許可設定すらないiPhoneにはほとんど無縁な話です。ところが、世の中には想定外のことが起きてしまうことがあります。許可設定やユーザーの操作に関係なく、公式ストア以外の場所から勝手に端末に侵入できてしまう深刻な問題が見つかることがあるのです。問題が見つかると、それを修正した更新版が配布されるので欠かさず適用し、システムやアプリを常に最新の状態にしておきましょう。
<システム>
アップデート版が提供されると、通知が来ます。設定によっては、指示に従ってシステムを更新しましょう。システムの更新は、大きなファイルのダウンロードと長い時間がかかることが多いのでご注意ください。自宅やショップなどのWi-Fi接続でダウンロードし、ACアダプタをつないだ状態でアップデートを行いましょう。機種によっては、ダウンロードやインストールを最適なタイミングで自動的に行うように設定できるものもあります。
<アプリ>
アプリもまた、アップデート版が提供されると通知が来ます。公式ストアでその都度手動で更新できますが、自動的に更新するようにしておくと手間がかかりません。
Android端末は、「Playストア」アイコンで「Google Play」に行き、左上のメニューから[設定]→[アプリの自動更新]と進むと設定できます。[Wi-Fi接続時のみアプリを自動更新する]にしておくと、モバイルデータ通信時にダウンロードしないのでデータ量を節約できます。
iOS端末は、[設定]アイコンから[iTunes StoreとApp Store]に進み、[アップデート]をオンにします。[モバイルデータ通信]がオフならWi-Fi接続時のみ、オンならモバイルデータ通信時も更新を行います。
図7 アプリの自動更新設定
公式ストアで配信されているアプリは、公開前に審査が行われているので、それなりの安全性が期待できるはずですが、残念なことに危険なものが潜んでいることがあります。グーグルの発表によると、2017年にポリシー違反で削除したアプリは70万本もあったそうです。この中には、暴力やポルノなどの不適切なコンテンツを含むものもありますが、人気のアプリに偽装した偽アプリやマルウェアも多く、最も多い偽アプリは、25万本も見つかったといいます。違反アプリの99%は、ユーザーがダウンロードする前に削除されたそうですが、何千本かのアプリは、削除前にユーザーのスマホにインストールされてしまった計算になります。
公式ストアからアプリをインストールする際には、提供元、評判、配信期間に注意しましょう。著名な開発元や信頼できるサービスの公式アプリであれば、多少の出来不出来はあっても、悪質なものは少ないでしょう。不正アプリは見つかり次第ストアから削除されます。多くのユーザーがダウンロードし長期間配信が続いているアプリであれば、安心して利用できそうです。
Play StoreのAndroidアプリの掲載日は、ストアのアプリの詳細から[詳細はこちら]をタップして下方にスクロールすると、[リリース日]の欄で確認できます。App StoreのiOSアプリは、ストアのアプリの新機能欄の横にある[バージョン履歴]をタップして下にスクロールして行くとリリース状況が分かります。
Google Playには、不正なアプリを検出する「Google Playプロテクトという機能があり、アプリのダウンロード時と定期的スキャンを行っています。既定で有効になっているはずなので、確認しておきましょう。Google Playの左上のメニューから[Playプロテクト]に進むと、設定状況やスキャン結果などが確認できます。
図8 設定状況やスキャン結果などが確認できるGoogle Playの「Play プロテクト」
<参考>
・How we fought bad apps and malicious developers in 2017[英文](Android Developers Blog )
https://android-developers.googleblog.com/2018/01/how-we-fought-bad-apps-and-malicious.html
システムやアプリのアップデートを怠らず、Webサイトからダウンロードする提供元不明のアプリには一切手を出さず、公式ストアで長期間配信が続いている評判の良いアプリだけを使うよう心掛けて下さい。そうすることで、スマートフォンをより便利に安全に利用することができます。
(執筆:現代フォーラム/鈴木)