ネットセキュリティ今どきのキホン

第12回

その人気ゲームアプリは本物? 偽アプリをインストールしてしまわないためのキホン

 今やタブレット端末/スマホはもちろんのこと、自動車や洗濯機、メガネに時計と身の回りのあらゆるモノがネットに繋がるIoT(Internet of Things)時代となりました。こうした環境の変化を感じながらも、ネットを利用する際のセキュリティ意識は特に変わらないという方は多いのではないでしょうか? 便利で楽しい仕組みが開発されると、新たな仕組みを悪用するサイバー攻撃が出てくるのは、残念ながらネットの歴史における事実です。とはいえ、必要以上に心配する必要はありません。この連載では、皆さんがネットを使う上で知っておきたい今どきのネットの危険と、それらを避けるためのキホンを紹介します。


 スマホ利用時のセキュリティについては、これまでも本連載(「第5回:スマホにもウイルスはあるの?」「第6回:スマホを狙うネット詐欺に注意」)でご紹介しましたが、今回は人気に便乗するスマホの偽アプリについて最新動向をお知らせします。スマホを安全に利用するための対策の1つとして、偽アプリの見分け方のポイントを確認しましょう。

人気に便乗する今どきの偽アプリとは

 大きなイベントや流行にあやかって利益を得ようとする、いわゆる便乗商法は、ネット上のサイバー犯罪でも定番の手法です。2016年7月22日に日本で公開され大ブームを巻き起こしているゲームアプリ「Pokémon GO」も、その人気ゆえに不正な便乗商法の被害に遭っています。

 トレンドマイクロの調査では、7月22日の日本公開よりも前の段階で、「Pokémon GO」の名をかたる43個の偽アプリを確認しています。しかも、そのうちの19個はスマホ内の情報を盗み出したり、利用者の意図しない広告を表示したりする不正・迷惑アプリ、いわゆるスマホのウイルスでした。中には本物のアプリと全く同じ見た目ながら、実際にはスマホ内の連絡先や保存されている写真、動画などを盗み出し、さらには遠隔操作によって通話の盗聴やカメラ撮影などができる機能を備えた悪質な不正アプリも確認されています。

図1:「Pokémon GO」をかたる不正アプリの起動画面の例

スマホのウイルスはどこから侵入してくる?

 スマホがウイルスに感染するとはどういうことでしょうか。

 これは、スマホに不正アプリをインストールしてしまうということです。ほとんどの場合、利用者が気付かずに自ら不正アプリをスマホにインストールしてしまうことによって、スマホがウイルスに感染します。いったん不正アプリをインストールしてしまったことにより、不正アプリが勝手に他の不正アプリをインストールしたり、端末の不備(脆弱性)を突かれて不正アプリが勝手にインストールされてしまったりする場合もあります。

 そのため、サイバー犯罪者は利用者を巧みにだまして不正アプリをインストールさせようとします。例えば、公式のアプリマーケットである「Google Play」に見せかけた不正サイトを用意し、SNSのメッセージやメール越しに利用者を不正サイトに誘導して、あたかも信頼できるマーケットからダウンロードしているように見せかけたりするのです。

図2:公式のアプリマーケット「Google Play」に見せかけた不正サイトの例(不正アプリ「アプリ福袋」への誘導を図る)

偽アプリを見分けるポイントとは?

 前述の通り、サイバー犯罪者は人気アプリの偽アプリや公式アプリマーケットの偽サイトを作り込んで、我々を巧妙にだまし、不正アプリのインストールを促します。

 まずは、誘導のきっかけとなるSNSのメッセージやメールに書かれたURLを安易に信用しないようにしましょう。URL越しにアプリマーケットに誘導された場合、URLが正規のアプリマーケットと異なっていないかを確認することも重要です。また、誘導された先でインストールしようとするアプリ名を確認したら、Google Playや携帯電話会社など信頼できる事業者の提供するアプリマーケットの公式アプリを立ち上げてそこからインストールするなど、立ち止まって確認する手順を加えることで、偽アプリの被害に遭う可能性を減らせます。

 また、インストールの際にアプリが要求する権限をチェックすることでも、不正アプリに気付ける可能性があります。今回確認された「Pokémon GO」の不正アプリでは、インストール時に、正規版では要求されない連絡先の読み取りや変更の権限などが要求されていました。アプリをインストールする際には、権限の要求画面をきちんと確認し、そのアプリ(すなわち開発元)にアクセスを許しても問題ないかを立ち止まって考えるようにしましょう。

図3:「Pokémon GO」の偽アプリ(左)と正規版アプリ(右)のインストール時の比較(2016年7月22日時点)

 とはいえ、利用者が意識をしていても判断に迷ったり、気付なかったりする状況になることも多々あります。また、信頼できるアプリマーケット上にも、サイバー攻撃者の巧妙な手口により不正なアプリが混入してしまう可能性がゼロではありません。スマホにもパソコン同様にセキュリティ対策アプリをインストールし、不正サイトや不正アプリを検知・ブロックできるよう最新の状態で利用することも重要です。

 だまされないように「心掛ける」ことと、「セキュリティ対策をあらかじめ行っておく」こと、両方の視点でセキュリティを意識して、安全にスマホを活用しましょう。

森本 純

もりもと じゅん:トレンドマイクロ株式会社 マーケティング戦略部 コアテク・スレットマーケティング課 シニアスペシャリスト。インターネットを安全に楽しむためのセキュリティ情報サイト「is702」の企画・運営をはじめ、セキュリティエンジニアとしての実務経験をもとに大学生から企業ユーザーまで広くさまざまな立場の人への脅威啓発活動を担当。