1クリックで誰でも作成可能、進化する「スマホ不正アプリ」にどう対抗する?トレンドマイクロが解説

スマートフォンへの攻撃をかわすには、まず犯罪者の思考をトレースしなければならない。トレンドマイクロがスマートフォンを狙う不正アプリの現状を解説した。

» 2013年12月03日 17時15分 公開
[宮田健,@IT]

 2013年12月3日、トレンドマイクロは「スマートフォン向け脅威動向セミナー」を開催し、攻撃者がどのような手法でスマートフォンを狙うのかをデモを交えて解説した。本稿ではサイバー犯罪者が残した足跡から、犯罪の手口と対策までを考えるセミナーの様子をレポートしよう。

犯罪者が狙うのは「正規のマーケット」

トレンドマイクロ フォワードルッキングスレットリサーチ シニアリサーチャー 林 憲明氏

 トレンドマイクロのフォワードルッキングスレットリサーチ シニアリサーチャーの林 憲明氏は「犯罪者は正規マーケットを狙う」と述べる。例えばAndroidではグーグルが運営する「Google Play」が相当する。犯罪者は事業者であるグーグルへの信頼、およびAndroidに標準搭載されるGoogle Playの信頼に「ただ乗り」することを狙っているという。

 スマートフォンアプリの正規マーケットでは、登録時、あるいは一定の間隔で審査が行われていることが多い。犯罪者はこれらの審査を回避するために、「機能限定型」と「時間差攻撃型」で審査の回避を狙っているという。

機能限定型:ワンクリ詐欺のアプリ版は、機能よりも数で勝負

 機能限定に分類される不正アプリは2013年1月から急増しており、アプリインストール時に多くの権限を求めないように作られている。これはワンクリック詐欺を狙ったもので、Webサイトに接続させるための「Internet権限」のみで実現できる。この権限はネットワークを利用するほとんどのアプリで利用されているため、権限要求の組み合わせによる危険性の判定は困難だ。

無作為に抽出したワンクリック詐欺アプリ300件のうち96%がInternet権限のみ要求
開発者名を使い分けてアプリを投稿、異なる開発者名で登録された300件のうち241件が同一の電子署名だったことから、同一グループの犯行の可能性が高いという

 機能限定アプリの特徴は、接続先URLを変えただけの亜種アプリが簡単に作れることだ。犯罪者は機能限定アプリを大量生産することで被害者を増やそうとする。この種のアプリは起動すると詐欺サイトに接続する。起動時の目視確認で簡単に不正アプリであることが判定可能なため、短命なものが多い。

時間差攻撃型:一撃必殺、無害なアプリがいつの間にか変身

 次に林氏は時間差攻撃の不正アプリを紹介した。これは無害なアプリとしてマーケットに登録し初回審査を通過させ、その後アプリの更新機能を使い、不正アプリに変化させるというものだ。

 この時間差アプリの特徴は生存期間(正規マーケットで公開され続ける期間)の長さだ。2013年4月に登場した、アップデートにて不正なアプリに変化させる「BadNews」系アプリを調査したところ、33日間の長期にわたってマーケットに存在していたという。これは機能限定アプリの生存期間である2日間を大きく上回る日数だ。

ワンクリック詐欺系、The Movie系、BadNews系の3種それぞれ5アプリ生存期間の中央値を比較したグラフ

 時間差アプリを実現するには、更新データを配信するサーバを犯罪者が用意しなければならないなど、高度な技術レベルが必要とされる。どちらの方式も一長一短があるため、今後も機能限定アプリと時間差アプリのどちらも共存し続けるのではないか、と林氏は指摘する。

機能限定と時間差攻撃の比較。どちらの手法にも攻撃者にとって利点がある
不正アプリ作成ツールキットの一例。もとになる正規アプリを指定し、ワンクリックで不正アプリを作れる

 AndroidはJavaで開発されており、バイナリはソースコードへ可逆性が高い。そのため正規アプリを無断で改変し、リパッケージを行うことで、不正コードを含むなりすましアプリの作成が容易だ。現在ではこの作業を自動で行うための「不正アプリ作成ツールキット」も無料で登場しており、初心者でも簡単に正規アプリを装う不正アプリを作ることができる。

不正アプリ作成ツールキットで作成したアプリをインストールすることでスマートフォンの遠隔操作が可能。SMSの内容を取得できるだけでなく、アドレス、写真、位置情報から交友関係を推測することができる

対抗策は?

 このようなスマホ不正アプリに対抗するにはどのような手法があるのだろうか。トレンドマイクロではモバイル向けのアプリ評価サービスとして「Trend Micro Mobie App Reputation」を提供している。これによりAndroidの各種マーケットをクロールし、大量のアプリ検証を自動的に行っている。

 機能限定型の不正アプリについては「接続先URL」に着目して検出、また署名情報から同一の開発者がどのようなアプリを作っているかなど、アプリ単体ではなく、アプリを横断するチェックを行うことで対策が可能だという。林氏は「巧妙な攻撃が実現できてしまうため、ユーザーの注意による回避は困難」と述べ、スマートフォンにおいてもセキュリティアプリの重要性が高まっているとした。

クラウド型アプリ評価サービス、Trend Micro Mobie App Reputationの特徴

Copyright © ITmedia, Inc. All Rights Reserved.

@IT

@ITについて

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。