テクノロジーが広く普及した今日の社会では、モバイル機器は、人々にとっての「必須アイテム」とさえなっています。そうしたモバイル機器の多くは、インターネット接続などコンピュータとほとんど変わらない高機能を備えており、その利便性ゆえ、いまや一般消費者も企業も、個人・ビジネス双方での最大限の活用を目指しています。事実、IT分野の調査機関であるガートナー社(Gartner Inc.)の調査結果によると、2010年のモバイル機器の売上は、2009年に比べて31.8%増加し、売上台数は16億台分に及んだともいいます。

もちろんこうした状況の中、サイバー犯罪者たちが自分たちの金儲けの手段として、「モバイル人気」に目をつけないはずがありません。下図は、いわゆる「モバイル機器を標的にしたマルウェア」が、ここ数年間でどのように「進化」してきたかをまとめたものです。



特にトレンドマイクロでは、米グーグル社(Google Inc.)がモバイル機器向けに開発したプラットフォーム「Android OS」を狙った脅威をいくつか確認しています。この場合、通称「アプリ」とも呼ばれる「モバイル機器用のアプリケーション」を装った複数のマルウェアとして確認されています。各種アプリの中でも、Android OS上で利用できる「Androidアプリ」は、「アンドロイドマーケット(Android Market)」やその他のサードパーティのアプリストアで入手できますが、これらのマルウェアは、こういったアプリストアで入手できる「正規アプリ」を装ってユーザをだまそうとします。そしてトロイの木馬型マルウェアとして(つまり「トロイの木馬化されたアプリ」として)、ユーザをだまし、モバイル機器にダウンロードされるのです。ダウンロードしてインストールされた(偽もしくは不正)Androidアプリは、様々な不正活動を行います。多くの場合、個人情報の収集や他のマルウェアのダウンロード、あるいは各種の改ざんなどです。


モバイル機器を標的にした脅威はどのようにしてもたらされますか?

トレンドマイクロですでに確認している「正規のAndroidアプリを装ったマルウェア」には、以下のようなものがあります。
  • ANDROIDOS_DROIDSMS.A」:モバイル向け "Windows Media Player" を装ったアプリとして侵入 
  • ANDROIDOS_DROISNAKE.A」:"Tap Snake" というゲームを装ったアプリとして侵入 
  • ANDROIDOS_GEINIMI.A」:中国拠点のサードパーティアプリストアから「トロイの木馬化されたアプリ」として侵入 
  • ANDROIDOS_ADRD.A」:「トロイの木馬化された壁紙アプリ」として侵入 
  • ANDROIDOS_LOTOOR.A」:"Falling Down"などの正規のゲーム系アプリが「トロイの木馬化」されて侵入 
  • ANDROIDOS_BGSERV.A」:「Android Market Security Tool」というセキュリティツールが「トロイの木馬化」されて侵入(このツールは本来「ANDROIDOS_LOTOOR.A」による改ざんへの対策ツールとしてリリースされたものです)
さらに上記以外にも、感染したモバイル機器から情報収集を行う「トロイの木馬化したアプリ」としては、以下のような検出名が確認されています。
何も知らないユーザは、アンドロイドマーケット(Android Market)やその他のサードパーティアプリストアから、こういった「不正アプリ」を(不正とは気づかずに)ダウンロードし、利用中のモバイル機器にインストールしてしまうわけです。


不正アプリがユーザのモバイル機器にインストールされるとどうなりますか?

アンドロイド端末を狙った不正アプリの場合、その影響も様々であり、その範囲は「ユーザの許可なく無断にテキストメッセージを送信する」といったものから「個人情報などを収集する」といった深刻な不正活動まで多岐にわたります。現状、トレンドマイクロでの解析結果に基づくと、不正アプリの典型的な動作として以下のようなものが確認されています。


検出名

不正活動

ANDROIDOS_DROIDSMS.A

 「798657」という数字を含んだテキストメッセージの送信。ショートメッセージサービス(SMS)を使って高額の請求が発生する電話番号になされます。この際、感染したモバイル機器にディフォルトで備わっているSMSセンター設定での「android.permission. SEND_SMS」という許可機能が利用されます。ただし、さらなる解析によると、プログラム上のエラーのため、この動作は実行できない状態のようです。

ANDROIDOS_DROISNAKE.A
別名:"Tap Snake"

 感染したモバイル機器を所持するユーザのGPSロケーションをHTTP POSTを介して不正リモートユーザに送信する機能を備えています。この機能は、ユーザが当該不正アプリをダウンロードして使用許諾契約書(EULA)に同意することで有効化されます。

ANDROIDOS_GEINIMI.A

 複数のポートを開いて特定のいくつかのURLに接続。接続したURLから不正リモートユーザからのコマンドを受信して実行します。これらのコマンドにより、感染したモバイル機器に関する特定情報やプロパティ等が不正リモートユーザに送信されます。

ANDROIDOS_ADRD.A

感染したモバイル機器から「International Mobile Equipment Identity (IMEI)」や「International Mobile Subscriber Identify (IMSI)」(2Gおよび3G仕様の全ての携帯電話のユーザに割り当てられた識別番号)などの情報を収集。収集後、これらの情報は、特定のサイトへ送信されます。また、実行される際、自身のコピーもダウンロードします。

なお、「International Mobile Equipment Identity (IMEI)」とは「国際移動体装置識別番号」もしくは「端末識別番号」とも呼ばれ、携帯電話やデータ通信カードが1台ずつに割り当てられた識別番号のことであり、「International Mobile Subscriber Identify (IMSI)」は、特に2G(GSM)や3G(W-CDMA)仕様の携帯電話に割り当てられた識別番号のこと。

ANDROIDOS_LOTOOR.A
別名:偽"Falling Down"

 特定のサイトに接続し、不正リモートユーザとの間での各種情報の送受信。特に感染したモバイル機器からユーザ情報に関する「ClientInfo」やモバイル機器の識別番号である「IMEI」や「IMS」などの情報収集を行います。さらに他の不正アプリのダウンロードも行います。

ANDROIDOS_BGSERV.A
別名:偽「Android Market Security Tool」

 感染したモバイル機器からの情報収集。収集された情報は、不正リモートユーザへ送信されます。また、通話や、テキストメッセージの送受信、ファイルや動画のダウンロード際に傍受を行なったりもします。

ANDROIDOS_SMSREP.A

 受信した全てのテキストメッセージを密かに不正リモートユーザに送信。

ANDROIDOS_FAKEP.A

 高額の請求が発生する電話番号へのテキストメッセージの送信。

ANDROIDOS_FSPY.A

 感染したモバイル機器のGPSロケーションや、テキストメッセージ、Eメールメッセージ、通話等のモニタリング。また、不正リモートユーザが、感染したモバイル機器での通話内容を盗聴したり、ショートメッセージサービス(SMS)を介して遠隔操作したりすることも可能になります。




この脅威によりユーザはどのような影響を受けますか?

以下の2つ不正アプリの場合は、ユーザの許可なく無断でテキストメッセージを勝手に送信し、なおかつ高額の請求書が発生する電話番号へ送信されるため、ユーザは大きな金銭的損失を被ってしまう可能性があります。
  • 「ANDROIDOS_DROIDSMS.A」 
  • 「ANDROIDOS_SMSREP.A」 
以下の6つの不正アプリに感染した場合は、情報漏えいの被害に遭う可能性があります。
  • 「ANDROIDOS_DROISNAKE.A」 
  • 「ANDROIDOS_GEINIMI.A」 
  • 「ANDROIDOS_ADRD.A」 
  • 「ANDROIDOS_LOTOOR.A」 
  • 「ANDROIDOS_FAKEAP.A」 
  • 「ANDROIDOS_FSPY.A」
上記の中でも「ANDROIDOS_DROISNAKE.A」に感染した場合は、不正リモートユーザのモバイル機器に「GPS SPY」というアプリがインストールされていると、「そのモバイル機器を所持しているユーザのGPSロケーションが不正リモートユーザに送信される」という被害もうけます。しかも厄介なのは、単に、不正アプリケーション "Tap Snake" を終了するだけでは、この位置情報の送信を停止することができないという点です。

情報漏えいの被害をもたらす上記6つの中でも、「ANDROIDOS_FSPY.A」が、「ANDROIDOS_DROISNAKE.A」と同じく、感染したモバイル機器のGPSロケーションのモニタリングを行ないます。しかもこの「ANDROIDOS_FSPY.A」の場合は、その他のセキュリティ関連の被害にも脅かされる可能性があります。GPSロケーションのモニタリング以外に、通話を盗聴したり、ショートメッセージサービス(SMS)を介して遠隔操作するなどの不正活動も行えるからです。

さらに上記6つの中でも「ANDROIDOS_GEINIMI.A」の場合は、感染したモバイル機器がボットネットの一部にされてしまう危険性まであります。もしそのようなことになれば、すでにインストールしたアプリを失うなどのリスクにさらされることとなります。

「ANDROIDOS_ADRD.A」は、もともとはクリック詐欺を目的とした「トロイの木馬化した不正アプリ」として設計されていたようです。この機能が駆使されうと、クリック詐欺による法外な金額請求という被害にも遭う可能性があります。

「ANDROIDOS_LOTOOR.A」は、情報収集だけでなく、感染したモバイル機器へのルート化も行ないます。このルート化により、そのモバイル機器のあらゆる操作権限を不正リモートユーザに与えることができるのです。ルート化に際しては、「rageagainstthecage」や「exploid」といったバイナリが使用されます。また、ユーザに気づかれずに、他のアプリをダウンロードしてインストールする機能も備えています。

「ANDROIDOS_BGSERV.A」は、「Android Market Security Tool」がトロイの木馬化された「偽Android Market Security Tool」ですが、この不正アプリをインストールしたユーザも、情報漏えいのリスクにさらされる可能性があります。


今回の脅威が要注意(Noteworthy)といわれる理由は何でしょうか?

米グーグル社(Google Inc.)のモバイル機器向けプラットフォーム「Android OS」は、全ての開発者が自由に参入できるオープンソースを採用しています。このことが、多種多用なアプリなど、あらゆる部分での選択の幅を広げることとなり、ユーザにとって大きな魅力ともなっています。ただし、残念なことではありますが、このことがまた、サイバー犯罪者とっての魅力となっているのも事実です。参入したい開発者は、まず登録費として25米ドルさえ支払えば、後は自由に自分で作成したアプリを(不正であろうと正規であろうと)アンドロイドマーケット(Android Market)にアップロードして販売することができるからです。

トレンドマイクロのスティーブ・チャン会長も、2011年1月12日、米ブルームバーグの取材に対して、Android OSのプラットフォームはオープンソースであるため、「ハッカーもソフトウエア設計のためのソースコードが入手でき」、セキュリティ関連の脅威にもさらされやすいと述べています。

コムスコア(comScore, Inc.)が2011年1月に米国で実施した調査では、「最も利用したいモバイル機器のプラットフォーム」として、Android OSが、アップル(Apple Inc.)のiOSやリサーチ・イン・モーション(RIM)のBlackberry OS を抜いて第一位となったと伝えています。

こうした状況から、今後、Android OSを標的にしたより複雑なマルウェア(不正アプリ)が登場しても不思議ではなく、セキュリティ専門家の間でも十分な注意が必要といえます。


「トロイの木馬化したアプリ」とは何ですか。ユーザはどこからダウンロードするのですか?

Android OS上で利用できる各種アプリケーションのことは、一般的に「Androidアプリ」とも呼ばれますが、これら正規のAndroidアプリが、サイバー犯罪者の犯罪目的のために作り変えられる場合があります。こうして「不正アプリ」へと作り変えられたアプリのことを「トロイの木馬化したアプリ」と呼ぶわけです。サイバー犯罪者たちは、まず正規アプリをダウンロードして入手し、犯罪目的のために変更を施します。こうして「トロイの木馬化されたアプリ」を、アンドロイドマーケット(Android Market)やその他のアプリストアにアップロードするのです。こういった不正アプリは、通常、無料アプリとして提供されていますので、その分、不正アプリとは知らずにダウンロードしてしまうユーザの数も多くなるようです。


トレンドマイクロの製品は、今回のような脅威を防ぐことができますか?

Trend Micro Mobile Security for Android (TMMS for Android)」により防ぐことができます。Android OSのモバイル機器を使用しているユーザが、不正なAndroidアプリや正規アプリを装った偽Androidアプリなどをダウンロードしてしまうのを防いでくれるのです。なお、日本における製品展開については、現在準備中です。詳細決定次第、正式に発表いたします。

またウイルス解析者Edgardo Diazは、今回の脅威について次のようにコメントしています。

「"APK/dex" というAndroid OS上の実行ファイルがオープンソース化されているため、ハッカーも、既存のアプリをダウンロードして分解し、不正コードを追加したり、再パッケージすることができます。そしてこうした過程で得られた知識は、ハッカーからハッカーへ(さらにハッカー予備軍へ)と共有されてくでしょう。そのような状況の中、今後、このような「トロイの木馬化したアプリ」がさらに増加していくことは確実だといえます。」

そしてウイルス解析者Karl Dominguezも以下のようにコメントしています。

「モバイル機器を標的にしたマルウェアは今後も増えていくことが予想できます。この点に関して、ユーザも十分な注意が必要となります。アプリを入手する際は、必ず信用のおける開発元および開発者からのダウンロードに限定すべきです。またインストールの前には、利用規約などに記されている「そのアプリがどのような権限を得ようとしているのか」を必ずチェックし、不必要な承諾を要求してくるアプリに関しては決して実行しないことです。またそのようなアプリに遭遇した場合、ぜひわれわれに報告してください。」


今回のような脅威を防ぐためにユーザ自身ができることは何でしょうか?

やはり「ユーザ自身が細心の注意を払う」ということが最も重要な鍵となります。どのようなアプリであれ、インストールする前に「そのアプリがどのような権限を得ようとしているのか」について必ずダブルチェックすることです。「トロイの木馬化したアプリ」などの偽アプリの場合、本来の正規アプリが作動する上では全く必要がないような情報へのアクセスを要求してくる場合があるからです。そうした不必要な要求も、使用許諾契約書(EULA)に記載されている場合があります。これは、サイバー犯罪者は、ユーザはそのような文書を詳しく読むことなく同意することを見越しており、うっかり同意したユーザに否があるようにするための巧みな手口ともいえるでしょう。





アプリを入手する際は、信用のおける開発元やよく知られた開発者からのダウンロードに限定すべきです。またインストールの前には必ず「そのアプリがどのような権限を得ようとしているのか」をしっかりチェックしておくことです。本来は必要がないと思われるような情報を要求してくるアプリに関しては、決して実行しないことです。

「ANDROIDOS_DROISNAKE.A」は、上述のような手口を使用しますが、もしこの不正アプリに感染した場合は、アプリをアンインストールするか、「Snake Service」を停止するかの対策を実行してください。「Snake Service」の停止は、以下の手順で行えます。

操作画面から以下の手順で選択していく:
  •  [Go to Settings (設定)]> [Applications (アプリケーション)]> [Running Service (実行中のサービス)] 
  • 「Running Service(実行中のサービス)」から「Snake Service」を選択し、「Stop(停止)」をクリック