サイバー犯罪
実例で学ぶネットの危険:スマホで突然の「ウイルスに感染」表示、開くとどうなる?
トレンドマイクロでは日夜多くのサイバー攻撃を監視していますが、Web上の表示や広告から攻撃に誘導する手法はサイバー犯罪者の常套手段となっています。今回はスマートフォンやタブレットでのWeb閲覧時に突然表示される「ウイルスに感染」警告からの誘導について、その実例を紹介します。
トレンドマイクロでは日夜多くのサイバー攻撃を監視していますが、Web上の表示や広告から攻撃に誘導する手法はサイバー犯罪者の常とう手段となっています。このような人間をだまして危険に誘導する手口に対しては、その手口を知ることが対策のために重要です。今回はスマートフォンやタブレットでの Web閲覧時に突然表示される「ウイルスに感染」警告からの誘導について、その実例を紹介します。
上図はこの 11月に入って確認された Web上で突然表示される「ウイルスに感染」警告の実例です。表示内容は一様ではなく、様々なバリエーションがあります。警告内では「Virus」や「Scan」などウイルス検出を思わせる文字列を含んだサイト名の使用や、使用しているスマートフォンの機種名を表示して利用者に自分の情報が相手に伝わっているように思わせるなどのだましのテクニックが入っています。しかし、この警告は「偽」であり、実際に遠隔で利用者のスマートフォンを調査した上で警告しているものではありません。「ウイルス感染」、「データ、アプリケーションが破損」、「早急な対応が必要」などの不安をあおる文言によって利用者を誘導しようとしているものです。「責任は自己負担」などの文言も、利用者に無視できないよう仕向ける手法と言えます。
今回の検証例で偽警告内の「OK」を押すと、以下のような Googleを偽装した表示により、アプリの入手と実行を促されます。ここでも表示内容は一様ではなく様々なバリエーションがあることがわかります。
表示内の「ウイルスを今すぐ除去」ボタンを押すと正規アプリストアである「Google Play」上の特定のアプリに誘導されます。Android上では「Play ストア」アプリが立ち上がります。この最終的に誘導されるアプリも一様ではありませんが、アプリの内容としてはセキュリティソフトやパフォーマンス改善のためのシステムユーティリティソフトなどが多いようです。
このようなウイルス感染を理由に利用者をだます手口は特に「FakeAV」と呼ばれます。また「FakeAV」を含め、偽の警告メッセージで不安をあおって利用者をだます手口全般を「Fake Alert(フェイクアラート、偽警告)」と呼びます。国内では、今回検証したような Android端末向けの「偽警告」は 2014年ころから目立ってきているようです。表示内容には様々なバリエーションがあり、一様ではありませんので注意してください。PC向け、スマートフォン向けに関わらず、現在このような「偽警告」の手口はネット広告経由が主な拡散手法と考えられます。現在のネット広告は時間帯やアクセス者によって表示される広告が変化する仕組みが多く採用されています。つまり、同じサイトにアクセスしたとしても異なる広告が表示される可能性があり、トレンドマイクロのようなセキュリティベンダーが調査のためにアクセスしても利用者が遭遇した「偽警告」画面が再現できない場合がほとんどです。
このような「偽警告」は特にアダルトサイトなどの閲覧時に遭遇する場合が多いようですが、国内のいわゆる「まとめサイト」、ブログ、Wiki、掲示板などのサイトや各種メディアサイト、海外のニュースサイトなどのような正規サイト閲覧時に遭遇したケースも報告されています。つまり「怪しいサイト」を踏んでしまった場合のみならず、正規サイトの閲覧時にも遭遇する可能性があることになります。2016年に行った不正広告による脆弱性攻撃サイト(EKサイト)への誘導に関する調査では、国内の正規サイト上に表示された広告が発端となって EKサイトへアクセスしたケースが少なくとも全体の 65%を占めていたものと推測されており、Android端末狙いの「偽警告」についても同様の状況と考えられます。
このような「偽警告」から誘導されるアプリはやはり不正アプリなのでしょうか?今回トレンドマイクロで確認した事例では、最終的に誘導されるのはすべて「Google Play」上のアプリであり、特に不正活動を含むものではありませんでした。しかしサイバー犯罪者にとって、不正アプリではない正規マーケット上のアプリに誘導してインストールさせることに何の意味があるのでしょうか?これは「Pay Per Install(PPI)」と呼ばれるアフィリエイトプログラムなどの利用により、正規アプリをインストールさせることで金銭的利益を得ようとする手口であるものと考えられます。この手法であれば、一般利用者にとっては「迷惑」と感じることがあるかもしれませんが深刻な実害はないため、サイバー犯罪者としては不正活動として追及を受けるリスクを負わずに金銭を得ることが出来ます。
しかし、すべての「偽警告」がアフィリエイト目的とは限りません。以前から見られていた Windowsへの攻撃などでは同様の「偽警告」から偽セキュリティソフトやランサムウェアなどの不正プログラムに誘導されるケースが多く確認されており、Android スマートフォン向けの攻撃においても正規マーケットに似せた表示のサイトや海外のサードパーティアプリストアから不正アプリを頒布するようなケースも確認しています。また、「Google Play」上であっても不正アプリが頒布されていた事例は、最近も複数確認されているのが実情です。最終的にインストールされるものが正規なものか、迷惑ソフトレベルのものか、不正アプリであるのかを正確に判断することは困難と言えます。たとえ有用な正規アプリであったとしても、このような偽警告によってインストールに誘導する手法はけして「正当な手段」とは言えません。安全なインターネット利用のためには「危うきに近寄らず」の態度でインストールしないことが正解と言えます。
■被害に遭わないためには
このようなネット上の危険へ誘導しようとする手口に関しては、その手口を知りだまされないようにすることが対策の1つとなります。Web閲覧時にセキュリティ上の問題やシステムの不安定などを警告する表示が出た場合、今回お伝えしたような偽警告である可能性が高いものと言えます。現在のところ、Android OS のスマートフォンでは、Windows に対する「Drive By Download(ドライブバイダウンロード)」攻撃のように、利用者の同意なく自動的に不正アプリをインストールできる方法は確認されていません。アプリのインストールを促された場合には安易に許諾せず、その機能やプログラムの内容を確認してください。「偽警告」は単なる Webサイト上の表示であり、表示されただけでは直接的な危険はありません。表示しているブラウザのタブを終了させることが一番の対処法となります。
■トレンドマイクロの対策
トレンドマイクロでは、モバイル環境での総合セキュリティ対策として、個人利用者向けには「ウイルスバスターモバイル」、法人利用者向けには「Trend Micro Mobile Security」を提供しています。これらの製品ではトレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network(SPN)」の機能である「モバイルアプリケーションレピュテーション(MAR)」技術や「Webレピュテーション(WRS)」技術により、不正アプリや不正Webサイトのブロックに対応しています。