作成はわずか30秒、大量生産される不正アプリの実態

　セキュリティソフトのトレンドマイクロは、12月3日都内にて「スマートフォン向け脅威動向セミナー」を実施した。登壇した、同社フォワードルッキングスレットリサーチシニアリサーチャーの林憲明氏が、サイバー犯罪者がスマートフォンユーザーを狙って利用する最新の犯罪手口と、その対策について解説した。

犯罪者の立場で攻撃手口を解説

トレンドマイクロの林憲明氏

　世界初のAndroid向け不正アプリは2010年にはじまった。アダルト動画サイトで、再生に必要なアプリとして拡散した詐欺アプリが確認された。以来不正アプリは増え続け、たった3年で、その数は100万種以上に及んでいる。

　そんな中、スマートフォンユーザーの多くが、Google Playなどの正規マーケットを利用している。Googleという事業者への信頼と、Android端末への標準搭載が理由として挙げられる。アプリのダウンロード元が絞られているこの状況は、不特定多数のユーザーを狙いやすく、拡散しやすいため犯罪者にとっても都合がよいインフラなのだと林氏は説明する。

あらゆる手口で不正アプリがばらまかれる

正規マーケットは犯罪者にとってむしろ好都合

　犯罪者が正規マーケットを悪用するうえで乗り越える必要があるのは、掲載時における「初回審査」と不正アプリを排除する取り組みである「巡回審査」がある。これらの審査を回避するための攻撃手法に“機能限定”“時間差攻撃”“不正コードの分散”がある。

　“機能限定”は、パーミッション（権限要求）を少なくすることで、不正アプリを見破る自動解析システムをかいくぐることができる。パーミッションをインターネット接続のみにした場合、不正コードとみなされない。詐欺サイトへの誘導を目的とした不正アプリであれば、Webブラウザ機能を持たせるだけで犯行が可能となる。ただし、実際にアプリを起動し目視で確認すれば、不正アプリであると分かるため悪評が広がりやすく、マーケットでは短命で終わるケースが多い。

　こういった短命の不正アプリは、大量生産される傾向にあり、開発者名こそ違うが同一人物・団体により作成されているという。同社が実際にGoogle Playで配布されていたワンクリック詐欺アプリ300件を調査したところ、そのうちの241件（約8割）は表示される開発者名を替えた、同一の電子署名であることが明らかになった。

　正規マーケットでの審査を回避する手口“時間差攻撃”も巧妙だ。まず無害なアプリでマーケットの審査を通過させる。アプリのダウンロード完了後に、あるタイミングで更新プログラムを配信する。すると、当初無害であったアプリが更新によって不正コードを配信する。あらかじめアプリ内に更新プログラムを埋め込んであり、後から不正コードを配信するため、正規マーケットには不正コードを残さずに巡回審査をも回避でき、かつ違和感なくユーザーはアップデートを行う、秀逸な手口であると言える。

　審査を回避するもうひとつの手口として“不正コードの分散”が挙げられる。これは、複数のコードをスマホ内に侵入させ組み合わせることで、悪さをするアプリが存在するというもので、複数のアプリに不正コードをパーツとして分散し配布している。複数アプリを連携アプリとしてダウンロードさせることで犯罪者の意図通りに組み合わせることもできるという。たとえば、辞書アプリと言語別データなどの組み合わせがある。こういった必然性のある組み合わせにより、不正コードのパーツを埋め込んだアプリを、自然に組み合わせダウンロードさせることができる。

　このように犯罪者の手口が多様化し、巧妙な攻撃が行われているのが実情だ。

最低限のパーミッションで審査を通過する

時間差攻撃

更新プログラムにより不正コードを侵入させる

不正コードのパーツを分散させてダウンロードさせる

遠隔操作により、データ転送や盗聴も可能に。不正アプリ作成～犯行を実演

　Androidアプリは模倣品が作りやすい性質があり、正規アプリを不正アプリにリパッケージされ拡散されているケースが多い。簡単に不正アプリ化させる「ツールキット」が出回っており、一時期は37ドルで売買されていたという。現在では無料化され、誰もが安易に作成できるという。

　同セミナーでは、このツールキットを用いた不正アプリ作成の実演が行われた。ツールキットでは、正規アプリと遠隔操作アプリを結合させ、模倣品がかんたんに作成できる。ツールにサーバーのIPアドレス、サーバーと不正アプリが通信するためのポート番号、模倣の対象となる正規アプリをそれぞれ入力する。時間にして30秒、たったこれだけで不正アプリは作られた。

ツールキットが無料で出回る

正規アプリの模倣品を作り出す

ツールキットの中身

不正アプリを簡単に作成できるしくみになっている

作成中の画面。必要なコードなどをツールキットに入力するのみ

正規アプリに遠隔操作機能が結合された

　さらに、作成された不正アプリを使った犯行のデモンストレーションも実施した。犯罪者のPC画面では、不正アプリがインストールされたスマートフォンのデータが遠隔操作により閲覧できる。電話帳に保存された連絡先のデータ、写真や動画、ショートメッセージのやりとりなどの情報を閲覧・転送できる。これにより被害者の交友関係なども分かる。また、被害者のリアルタイムの現在地を特定することも可能。このほか、遠隔操作により音声を録音し、そのデータを犯罪者のサーバーに転送、つまり盗聴も可能になる。

不正アプリのパーミッション

不正アプリをインストールする

デモ用に作成したこの「勤怠管理アプリ」は不正アプリ。見た目はまったく怪しくない

犯罪者のPC画面。連絡先などの情報を取得できる

犯罪者のPC画面。ショートメッセージのやり取りが閲覧できる

被害者のリアルタイムの現在地も分かる

スマートフォンユーザーが行うべき対策

　悪質なサイバー攻撃の対策として、最新OSへの更新、インストール時のパーミッションの確認、などが一般的に言われているが、日々巧妙化する不正アプリを見抜くことは通常困難な状況にある。どのような攻撃を行ってくるのかを知るサイバースレッドインテリジェンスが必要だと林氏は語る。トレンドマイクロのようなセキュリティベンダーでは、不正アプリに関するビッグデータをクラウド上に蓄積し、常にソフトで最新の情報を提供している。スマートフォンユーザーが行うべき対策としては、セキュリティソフトの最新版を適用することで回避できると林氏は語る。

　Google Playでの取り組みとしては、パーミッションの表示画面でアイコンをつけたり、注意すべき点には色を変えて表示したりするなど、以前より分かりやすくなっている。また林氏によれば、Googleは独自の審査技術を持ち機械的に行っているのに対し、Appleは人の手をかけて目視で審査を行っているという。iOSが安全かというと、出会い系（サクラ系）サイトへの誘導など煽り広告を期間限定で配信しているケースもあり、一概には言えないとしている。