海の向こうの“セキュリティ”

第95回

Google Play上位50の人気無償アプリの8割近くに偽アプリが存在　ほか

（2014/8/5 06:00）

　7月のセキュリティ関連の話題としては、まず日本国内で過去最大規模の個人情報漏えい事件が発生したことが明らかになり、大きな注目を集めました。この件に関してはさまざまな観点からの指摘や議論がある他、便乗した詐欺事件も発生するなど、影響はまだまだ続きそうな様相を呈しています。また、官民連携によるマルウェア対策プロジェクト「ACTIVE」を通じた不正送金マルウェア感染者に対する注意喚起についても広く報道されています。

URL

INTERNET Watch（2014年7月23日付記事） 国民生活センター、ベネッセの個人情報漏えいに便乗した不審な勧誘に注意を呼び掛け: http://internet.watch.impress.co.jp/docs/news/20140723_659065.html
INTERNET Watch（2014年7月18日付記事） 不正送金マルウェア感染者にISPから通知、FBIのシステムで感染端末を特定: http://internet.watch.impress.co.jp/docs/news/20140718_658699.html

　一方、海外に目を向けると、ドイツでは米国によるスパイ活動が明らかになったことを受けて、在独米大使館の情報部門トップを国外退去処分にするという異例の措置が取られたとの報道がありました。また、米カリフォルニア大学バークレイ校の研究チームがパスワード管理ツールの危険性を指摘した件や、Apple iOSにバックドアがあり、司法当局などによるネット監視に使われている可能性があることが、あるカンファレンスで発表され、それをAppleが監視機能ではなく「診断機能」であるとして否定するといった出来事もありました。ほかにも、米国土安全保障省がオープンソースのコードをチェックして脆弱性やバグを見つけるサービスSWAMP（Software Assurance Marketplace）を開始したことを発表しました。

URL

ウォール・ストリート・ジャーナル日本版（2014年7月11日付記事） ドイツ、米大使館の情報当局トップを国外退去に: http://jp.wsj.com/news/articles/SB10001424052702303379504580021884082036178
CIO Magazine（2014年7月17日付記事） Web版のパスワード管理ツールに潜む危険性、研究者が指摘: http://itpro.nikkeibp.co.jp/atcl/idg/14/481709/071700003/
Gigazine（2014年7月24日付記事） ユーザー監視用バックドアの存在が発覚したiOS、Appleはバックドアを否定するべく機能解説ページを公開: http://gigazine.net/news/20140724-back-door-ios-diagnostic-capabilities/
Jonathan Zdziarski's Domain（2014年7月23日付記事） Apple Confirms “Back Doors”; Downplays Their Severity: http://www.zdziarski.com/blog/?p=3466
ZDNet（2014年7月24日付記事） Homeland Security gets into software security: http://www.zdnet.com/homeland-security-gets-into-software-security-7000031949/
SWAMP（Software Assurance Marketplace）: https://continuousassurance.org/

【お詫びと訂正 12:00】
　記事初出時、本記事のタイトルおよび次章の見出しで「Google Play上位50の人気無償アプリの8割近くが偽アプリ」と記述しておりましたが、正しくは「Google Play上位50の人気無償アプリの8割近くに偽アプリが存在」です。あわせて、次章の本文の一部も修正しました。お詫びして訂正いたします。

Google Play上位50の人気無償アプリの8割近くに偽アプリが存在

　スマホにとっての脅威と言えば、何と言っても、ユーザーの意図しない動作をするアプリでしょう。例えば、位置情報を勝手に送信したり、通信を傍受することでパスワードなどの機密情報を盗み出したりするアプリが存在することはよく知られています。中でも特に注意すべきなのは、正規アプリを「再パッケージ化」して何かを加えたり、削ったりした「偽アプリ（Fake Apps）」で、これらは正規アプリと見た目が変わらないためにユーザーが判別するのが極めて難しいという問題があります。

　今回は、このような「偽アプリ」の実態に関するトレンドマイクロのレポートを紹介します。

　レポートによると、Google Playでよくダウンロードされる50の人気無償アプリを調査した結果、その77％において、本家正規アプリの人気に便乗した偽アプリが存在していることが分かりました。

図1

　さらに偽アプリが存在する割合をGoogle Playのカテゴリ別に分けたのが図2です。これは各カテゴリごとに人気のトップ10アプリについて調査したもので、「Widgets」「Media & Video」「Finance」では100％、つまりすべてに偽アプリが存在するとの結果が出ています。

図2

　ところで、一般的に偽アプリは危険で実害があるとされていますが、今年の4月に、Google Playに限らずに広く集めた89万482個の偽アプリを調べた結果、そのうち5万9185個が（強引な）アドウェア、39万4263個がマルウェアと判定されています。両者を合わせると偽アプリに占める割合は51％で、残りの49％は実害のない単なる「模造品」になります。

図3

　ほかにも今回のトレンドマイクロのレポートでは、具体的に偽アプリがどのようなものかをスクリーンショットを交えて解説するなどしています。

　このように偽アプリが蔓延している中で、一般ユーザーが実施すべき対策として、本レポートでは、アプリのインストールを慎重に行なうことやセキュリティ製品を導入するといった当たり前の防御策以外に何も新しい対策は提示されていません。現実問題としてそれ以外に対策がないので仕方ないのですが、偽アプリが蔓延している状況を示すことで「より一層、アプリのインストールには慎重に」との注意を喚起したものと受け取るべきでしょう。

URL

TrendLabs Security Intelligence Blog（2014年7月15日付記事） A Look at Repackaged Apps and their Effect on the Mobile Threat Landscape: http://blog.trendmicro.com/trendlabs-security-intelligence/a-look-into-repackaged-apps-and-its-role-in-the-mobile-threat-landscape/
A Trend Micro Research Paper Fake Apps - Feigning Legitimacy（PDF）: http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp-fake-apps.pdf

攻撃トラッフィクの発信元IPアドレスや送信先ポートに分散化の傾向

　Akamaiによる報告書「State of the Internet」の2014年第1四半期版の中からセキュリティ関連の部分を抜粋して紹介します。

攻撃トラフィック

　攻撃トラッフィクの発信元IPアドレスを国や地域別に示したのが図1です。なお、このレポートでは「攻撃トラフィック（Attack Traffic）」の定義は明確に示されていませんが、いわゆる「プローブ／スキャン」を意味しているようです。

図1

　前四半期（2013年第4四半期）に比べて若干減ってはいますが、変わらず中国が他を引き離して1位となっています。また、この図にはありませんが、前四半期には上位10地域に入っていて今回圏外になったのは、カナダ、ドイツ、オランダです。逆にランクインしたのは、インド、トルコ、韓国です。

　さらに上位10地域だけで占める割合は、前四半期が88％だったの対して、この四半期では75％に落ちており、分散化している傾向が見られています。また、地域別で見ると、アジア太平洋地域の割合が増えており、前四半期の56％から63％になっており、これはヨーロッパが占める割合16％の約4倍となっています。

　次に送信先をポート別に示したのが図2です。445番ポート（Microsoft-DS）が1位なのは変わりませんが、前四半期の30％から14％と半分以下に減っています。その一方で以前は0.1％にも満たなかった5000番ポート（Universal Plug & Play/UPnP）が12％へと急激に増えています。この5000番ポートへのアクセスに対してInternet Storm Centerは、監視カメラでの録画に広く使われているHikvision DVRに感染したBitcoin Mining Malwareに関係している可能性を指摘しています。また、上位10ポートのほとんどが前四半期に比べて割合を半分ほどに減らしている中で、23番ポート（Telnet）が倍以上に増えているのが目を引きます。

図2

　一方、送信元IPアドレスに分散化の傾向が見られたように、送信先ポートにも分散化の傾向が見られており、前四半期では上位10ポートで全体の75％を占めていたのに対し、この四半期では55％にまで落ちています。

　さらに細かく見ていくと国や地域ごとで傾向に違いがあります。445番ポートが1位となっているのは台湾、ロシア、インド、ルーマニアだけで、米国、ブラジル、韓国では2位となっています。また、5000番ポートが1位なのは中国、ブラジル、トルコ、韓国で、2位なのはインド、ルーマニアです。ほかと違った傾向を見せているのは、米国での1位が80番ポート、インドネシアでの1位が443ポートで2位が80番ポートとなっています。ちなみに、23番ポートが上位3位に入っているのは中国、ブラジル、インド、トルコ、韓国、ルーマニアとなっています。

DDoS攻撃

　Akamaiが受けたDDoS攻撃について、まず図3を見ると、全体としては前四半期よりも減っていることが分かります。一方、図4によれば、地域別の攻撃先は北南米が全体の半分近くを占めており、次にアジア太平洋地域、残りがEMEA（欧州＋中東＋アフリカ）となっています。さらに、地域別の変化をまとめた図5を見ると、全体の減少傾向に対し、EMEAでの増加が目を引きますが、これは英国内の大型小売店に対する攻撃やロシアのソチで行なわれた冬季オリンピック関連サイトへの攻撃であるとしています。

図3

図4

図5

　攻撃先をセクター別でまとめたのが図6で、その変化を示したのが図7です。Enterprize（企業）が前四半期に比べて大きく減る一方で、Public Sector（公的機関）への攻撃が着実に増えていることが分かります。なお、この公的機関への攻撃の増加のうち、多くを占めているのはシンガポールの政府機関への攻撃とのことです。

図6

図7

　さらにAkamaiでは2013年の第3四半期から、同じ攻撃先を狙ったDDoS攻撃についても調査しており、その結果、4分の1が同一四半期中に、また3分の1が同年中に再び攻撃を受ける可能性があるとしています。この結果をまとめたのが図8です。

図8

　このレポートはあくまでAkamaiが観測したデータに基づいているものであり、必ずしもインターネット全体を示しているとは限りませんが、世界最大手のコンテンツデリバリーネットワーク事業者として地球規模の負荷分散サービスを提供している企業が収集した統計データは十分に注目に値します。今回は「セキュリティ」のセクションのみを紹介しましたが、ほかにもさまざまな統計データが掲載されていますので、セキュリティに限らず、インターネットにかかわる仕事をしている方たちには一読をお勧めします。

URL

The Akamai State of the Internet Report: http://www.akamai.com/stateoftheinternet/
Prolexic Q1 2014 Global DDoS Attack Report: http://www.prolexic.com/knowledge-center-ddos-attack-report-2014-q1.html

山賀正人

CSIRT研究家、フリーライター、翻訳家、コンサルタント。最近は主に組織内CSIRTの構築・運用に関する調査研究や文書の執筆、講演などを行なっている。JPCERT/CC専門委員。日本シーサート協議会専門委員。