スマートフォンへの攻撃をかわすには、まず犯罪者の思考をトレースしなければならない。トレンドマイクロがスマートフォンを狙う不正アプリの現状を解説した。
2013年12月3日、トレンドマイクロは「スマートフォン向け脅威動向セミナー」を開催し、攻撃者がどのような手法でスマートフォンを狙うのかをデモを交えて解説した。本稿ではサイバー犯罪者が残した足跡から、犯罪の手口と対策までを考えるセミナーの様子をレポートしよう。
トレンドマイクロのフォワードルッキングスレットリサーチ シニアリサーチャーの林 憲明氏は「犯罪者は正規マーケットを狙う」と述べる。例えばAndroidではグーグルが運営する「Google Play」が相当する。犯罪者は事業者であるグーグルへの信頼、およびAndroidに標準搭載されるGoogle Playの信頼に「ただ乗り」することを狙っているという。
スマートフォンアプリの正規マーケットでは、登録時、あるいは一定の間隔で審査が行われていることが多い。犯罪者はこれらの審査を回避するために、「機能限定型」と「時間差攻撃型」で審査の回避を狙っているという。
機能限定に分類される不正アプリは2013年1月から急増しており、アプリインストール時に多くの権限を求めないように作られている。これはワンクリック詐欺を狙ったもので、Webサイトに接続させるための「Internet権限」のみで実現できる。この権限はネットワークを利用するほとんどのアプリで利用されているため、権限要求の組み合わせによる危険性の判定は困難だ。
機能限定アプリの特徴は、接続先URLを変えただけの亜種アプリが簡単に作れることだ。犯罪者は機能限定アプリを大量生産することで被害者を増やそうとする。この種のアプリは起動すると詐欺サイトに接続する。起動時の目視確認で簡単に不正アプリであることが判定可能なため、短命なものが多い。
次に林氏は時間差攻撃の不正アプリを紹介した。これは無害なアプリとしてマーケットに登録し初回審査を通過させ、その後アプリの更新機能を使い、不正アプリに変化させるというものだ。
この時間差アプリの特徴は生存期間(正規マーケットで公開され続ける期間)の長さだ。2013年4月に登場した、アップデートにて不正なアプリに変化させる「BadNews」系アプリを調査したところ、33日間の長期にわたってマーケットに存在していたという。これは機能限定アプリの生存期間である2日間を大きく上回る日数だ。
時間差アプリを実現するには、更新データを配信するサーバを犯罪者が用意しなければならないなど、高度な技術レベルが必要とされる。どちらの方式も一長一短があるため、今後も機能限定アプリと時間差アプリのどちらも共存し続けるのではないか、と林氏は指摘する。
AndroidはJavaで開発されており、バイナリはソースコードへ可逆性が高い。そのため正規アプリを無断で改変し、リパッケージを行うことで、不正コードを含むなりすましアプリの作成が容易だ。現在ではこの作業を自動で行うための「不正アプリ作成ツールキット」も無料で登場しており、初心者でも簡単に正規アプリを装う不正アプリを作ることができる。
このようなスマホ不正アプリに対抗するにはどのような手法があるのだろうか。トレンドマイクロではモバイル向けのアプリ評価サービスとして「Trend Micro Mobie App Reputation」を提供している。これによりAndroidの各種マーケットをクロールし、大量のアプリ検証を自動的に行っている。
機能限定型の不正アプリについては「接続先URL」に着目して検出、また署名情報から同一の開発者がどのようなアプリを作っているかなど、アプリ単体ではなく、アプリを横断するチェックを行うことで対策が可能だという。林氏は「巧妙な攻撃が実現できてしまうため、ユーザーの注意による回避は困難」と述べ、スマートフォンにおいてもセキュリティアプリの重要性が高まっているとした。
Copyright © ITmedia, Inc. All Rights Reserved.