情報処理推進機構セキュリティセンター(IPA)は、5日発表の「今月の呼びかけ」で、スマートフォンから個人情報を抜き取るアプリを取り上げ、被害にあわない対策をとるよう利用者に注意を促している。
不正なアプリをダウンロードさせるリンク先が書かれた日本語のメールが、不特定多数の利用者にばら撒かれており、SNS(ソーシャルネットワーキングサービス)でも危険なリンクが投稿されている。
IPAは、個人情報を抜き取るアプリがスマートフォンにインストールされるまでの手口と、インストール後のアプリの動作を解説し、3つの対策を勧めている。
■インストールさせる手口:メールやSNSで利用者の興味を引く
メールを使う手口では、「繋がらない電波状況を改善するアプリ」「充電が長持ちするアプリ」など、新しい便利なアプリを紹介すると偽るメールを不特定多数に送りつけている。メールに記載されたリンク先をクリックすると、不正アプリがダウンロードされ、利用者にインストールを促す。SNSを使う手口では、「わんこアプリ発見~w」など興味を引く言葉と共に、不正アプリをダウンロードさせるリンク先が書かれている。参加者が趣味を共有するSNSでは警戒心が薄れがちなので、注意が必要だ。
■インストール後の動作:「未対応」理由に終了、裏で電話帳を外部送信
IPAは、不正アプリ「電波改善」の動作を解析している。メールに書かれたリンク先をタッチするとダウンロードが始まり、終了後にファイル名をタッチするとインストール開始の有無を聞いてくる。注目すべきは、電波を改善するとうたっているにもかかわらず、「個人情報:連絡先データの読み取り」の権限許可を求めてくることだ。[インストール]をタッチすると、不正アプリがインストールされてしまう。
インストールしたアプリを起動すると初期設定画面になるが、その後「この端末では未対応のためご利用できません」と表示され、終了してしまう。実際、このアプリは電波改善機能はもっておらず、必ず「未対応」の画面を表示して終了するようになっているという。偽りの「初期設定中」画面を表示している間、不正アプリは電話帳の内容を窃取し、外部のサーバーへ送信している。
■被害にあわない3つの対策:「場所」「アクセス許可」「セキュリティソフト」
IPAは、このような不正アプリの被害にあわないためには、「信頼できる場所からダウンロードする」「インストール前にアクセス許可を確認する」「セキュリティソフトを導入する」の3つをあげている。「信頼できる場所」とは、Android端末なら「Google play」、iPhoneなら「App Store」、通信事業者等が公式に運営するマーケットなど。iPhoneの場合は、「App Store」でしかダウンロードできない仕様になっている。
「アクセス許可」は、Android端末でアプリインストール時に表示されるもので、必ず目を通したい。前述の「電波改善」が「連絡先データの読み取り」許可を求めたように、アプリの種類から考えると不自然なアクセス許可を求めるものがある。IPAは、疑問に思うアクセス許可を求められた場合はインストール中止を勧めている。セキュリティアプリを入れて最新状態に保っておくことも、ウイルス感染の可能性を減らすために大切だ。
IPAは、怪しいメールやDMが届いたり、怪しいリンク先が書かれた投稿文を見つけたりした場合は、「IPA安心相談窓口」へ連絡するよう呼び掛けている。
(2012/09/06 ネットセキュリティニュース)
【関連URL:IPA】
・コンピュータウイルス・不正アクセスの届出状況[8月分]について
http://www.ipa.go.jp/security/txt/2012/09outline.html
・スマートフォンを安全に使おう!
http://www.ipa.go.jp/security/keihatsu/pr2012/general/03_smartphone.html