最近の記事

アーカイブ

もっと見る

フィードを購読

個人情報ニュース

セキュリティコラム

編集雑記

2019年2 月

          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28    

リンク

  • サイト検索
    Loading
  • 受注のご案内
    セキュリティ意識が高い企業や公的機関、コンテンツプロバイダー様の需要にお応えし、デイリーでセキュリティニュースを配信します。 ご要望のテーマに沿ったニュースの編集、コラムの受注も可能です。 サイトに掲載いただくだけでなく会員の方々へのメール配信も可能です。 詳しくは、弊社ホームページよりお問い合わせください。
  • 現代フォーラム
    現代フォーラムHPへ

ブログのURL


このブログのURLをメールで送信

« ◆ポータルサイトへの不正アクセス相次ぐ~「強固なパスワード」設定を(2013/04/05) | メイン | ◆マイクロソフト、4月度の月例セキュリティパッチを公開(2013/04/10) »

2013/04/09

◆Android端末を狙うワンクリック詐欺~Androidアプリで誘導する新手口(2013/04/09)

 Androidアプリの公式マーケット「Google Play」で、ワンクリック詐欺サイトに誘導するアプリが多数公開されているとして、セキュリティ企業各社が注意を呼び掛けている。

 ワンクリック詐欺は、アダルトサイトなどで画面を数回クリック(タップ)すると登録完了画面が突然現れ、高額な料金の支払いを要求される架空請求のひとつだ。国内特有のもので、2001年頃からパソコンユーザーの間で被害が出始めた。

他の架空請求と同様、無視すればよいのだが、2005年頃からは、いわゆる「ワンクリックウェア」を仕込んだサイトが出現し、状況が一変する。動画の再生などと称してユーザーに実行させようとするワンクリックウェアは、ひとたび実行してしまうとパソコン内に居座り、デスクトップに請求画面を表示し続けるのだ。このため、支払ってしまう人や消えない請求画面に悩まされる人が続出した。

■ターゲットはパソコンからスマホへ

 3G携帯とパケット定額制が登場し、携帯インターネットが急速に普及しはじめると、詐欺師たちはケータイユーザーにも食指をのばすようになる。2011年の春頃からは、スマートフォンに特化したサイトも出現し、その年の暮には、Android版のワンクリックウェアも登場する。この数年で、ワンクリック詐欺の主戦場は、パソコン環境からケータイ、そしてスマホへと大きくシフトしたようだ。

■Androidアプリを使うサイト誘導の新手法

 アダルトサイトやアダルト系のリンク集、掲示板やブログなどの書き込み、メールといったところが、これまで用いられていた詐欺サイトに誘導する主な手口である。今回新たに見つかったのは、この誘導を「Google Play」で配布している無料のAndroidアプリで行う手口だ。2月頃から出没している問題のアプリは、デベロッパーアカウントを次々と変えながら、一度に数個ずつ、アダルト系のアプリを装うかたちで公開が続いている。シマンテックによれば、これまでに少なくとも50以上もの開発元から、200個以上のアプリが公開されているという。

 一連のアプリは、請求画面を表示し続けるワンクリックウェアとは異なり、詐欺サイトにアクセスさせるだけの機能しかない簡単なもの。詐欺の実態は、従来通り誘導先のサイト上にあり、そこに誘導するための手段としてAndroidアプリを投入してきたのだ。実際に支払いに応じてしまった数は不明だが、Google Play進出の効果はそれなりにあったようで、アプリのインストール数は、軒並み100~500件台をマークしている。

■ワンクリック詐欺の対処法は「無視」

 サイトにアクセスさせる機能しかないアプリなので、アプリが求める許可も「ネットワーク通信」しかない。標準ブラウザーを使って閲覧させるアプリにいたっては、何の許可も要求しない。したがって、アプリを実行するだけで料金を請求されることも、電話番号やメールアドレスなどを抜き取られることもないが、実行後の画面は、従来通りのワンクリック詐欺サイトなので注意したい。動画再生や年齢確認のボタンをタップして行くと、登録完了画面が現れて料金の支払いを要求される。

 登録完了画面では、IPアドレスやブラウザーが送信する情報を表示し、いかにも身元が特定できるかのうように見せかけ、訴訟などをちらつかせてユーザーをパニックに陥れようとするが、言われるがままに支払ったり、あわててメールや電話で問い合わせたりしないよう注意していただきたい。サイトによっては、「退会」や「登録情報の削除」といった、誤登録の救済手段に見せかけたメニューを用意しているところもあるが、これらもユーザーが連絡してくるようにするための手段に過ぎない。

 ワンクリック詐欺は、自発的に支払ってしまう人や、あわてて連絡してくる人など、お金を取れそうな相手を狙ったワナなので、遭遇してしまった場合の最善策は、「無視する」ことに尽きる。請求があっても絶対に支払わない、相手に連絡しない、連絡があっても無視し受信拒否や着信拒否で対処する。インストールしてしまったアプリも、アンインストールしてしまえばよい。それでも心配な方は、最寄りの消費者生活センターや警察署が相談を受け付けている。

(2013/04/09 ネットセキュリティニュース)

【関連URL】
・「Google Play」上で複数のAndroid向けワンクリック詐欺アプリ(ワンクリウェア)の公開を確認(トレンドマイクロ)
http://blog.trendmicro.co.jp/archives/6984
・Google Play にも出現した日本のワンクリック詐欺(シマンテック)
http://www.symantec.com/connect/blogs/google-play-1
・ワンクリック詐欺の亜種によるGoogle Playへの攻撃は続く(マカフィー)
http://www.mcafee.com/japan/security/mcafee_labs/blog/content.asp?id=1360

投稿情報: 09:54 |

|