「おもいこみ 僕は安全 それ危険」パーミッションが怪しくない不正アプリも

　独立行政法人情報処理推進機構（IPA）は7日、今年最初となる情報セキュリティの呼び掛けとして、「おもいこみ 僕は安全 それ危険」という標語を発表した。これは、IPAが昨年実施した情報セキュリティ標語コンクールで優秀賞に選ばれた中学生の作品。

　IPAでは、2013年に発生したセキュリティ事案の中から、金銭被害につながる可能性が高く、特に一般ユーザーに影響が大きいものとして、

• インターネットバンキング利用者を狙った不正送金
• 過去の流行時の約2倍の件数に上るウェブ改ざん
• 偽の警告画面を表示させ有償版の購入を促し、クレジットカード番号を入力させる「偽セキュリティソフト」などの手口
• 従来の対策では見抜くことが難しい、スマートフォンのワンクリック請求アプリ

という4点を挙げている。

　ただし、2つ目を除く3点については2012年にすでに存在していた手口であり、2013年に入ってさらに巧妙化したことが特徴だと指摘。被害に遭わないためには、

• セキュリティソフトを導入し、ウイルス定義ファイルを常に最新に保つ
• PCやスマートフォンのOSやアプリケーションソフトを最新版に更新する
• 年に一度は、普段使用しているメーカー以外の無料ツールでウイルスチェックを行う

といった必須の対策に加えて、「『自分は大丈夫だ』という思い込みを捨て、日ごろから用心するという心がけも重要」だとして、今月の呼び掛けの意図を説明している。

　IPAによると、インターネットバンキング利用者を狙った不正送金に関連する相談は、2013年上半期には20件だったが、下半期半には96件へと増加。4月ごろからは、ワンタイムパスワードを盗み取る新たな手口も出現しているという。

　これは、ウェブメールサービスのログイン情報を盗み取るウイルスを使用する方法だ。銀行から利用者宛にメールで送信されたワンタイムパスワードを盗み取り、本人になりすまして不正送金するという。このほか、従来からある手口として、偽の銀行サイトに誘導するフィッシングメールに関する相談も寄せられており、今後も注意が必要だとしている。

メールで受信するワンタイムパスワードを盗み取る手口のイメージ（IPAの報道発表資料より）

　スマートフォンのワンクリック請求アプリでも、2013年は新たな手口が出現したという。IPAによると、この手口では、アプリのインストール時に不審なパーミッションを要求してくることはないが、ネットワーク通信／フルインターネットアクセスを要求。アプリ内に設定されたアダルトサイトを表示し、画面に従って登録を完了すると、請求画面を表示するという流れ。

　また、このアプリは公式マーケット上で公開されていたとしており、「正規のマーケットから入手する」「アクセス権限（パーミッション）を注意深く確認する」という、不正アプリ対策における従来の判断基準が通用しないのが特徴だとしている。

　なお、この手口の場合、アプリ自体が情報を盗み取るわけではないため、「慌てずにアプリを削除するだけで復旧することができる」という。

スマートフォンのワンクリック請求における新旧手口の比較（IPAの報道発表資料より）