シマンテックセキュリティレスポンスブログでは、世界中のリサーチセンターにおける分析結果やセキュリティ情報などをブログ形式公開している。今回は、日本語のワンクリック詐欺アプリについてのトピックスを取り上げてみよう。
急増するワンクリック詐欺
ワンクリック詐欺については、本誌でも注意喚起を行ってきた。多くの手口が、アダルト系の動画サイトなどに誘導し、最終的に会費として高額な料金を請求するものだ。アダルト系という後ろめたさから、泣き寝入りし、会費を払ってしまう事例が多い。かつてはPCで流行したが、当然スマートフォンを狙い、それが急増してきている。その推移であるが、図1の通りである。
シマンテックの濱田氏によれば、これまでの成功から「濡れ手で粟」を狙った新しい参入者が急増していると分析する。
多くの手続きを踏ませる詐欺アプリ
今回、新たな詐欺アプリの流れをみていこう。Google Playからダウンロードする(図2)。
アプリを実行すると、動画サイトが表示され、実際に動画再生を行おうとすると、メンバー登録が求められる(図3)。
ここでは、「無料」となっている。[メール送信]をタップすると、自動的にメールが作成される(図4)。
メールを送信すると、図5のようなメールが届く。
このリンク先をタップすると、別のサイトにリダイレクトされ、動画を見ようとすると、パスワードが求められる(図6)。
やむなく[パスワード確認]をタップすると、スマートフォンの通話機能が立ち上がり、指定された電話番号が通話ができるようになる(図7)。
実際に通話すると、自動返信メッセージからパスワードが知らされる。このパスワードで図6にログインすると、会員情報が表示され、31万5,000円の請求がされる。
途中、会費が必要という表示はなかった。それどころか、図3では「無料」とあったくらいだ。実は、パスワード入力ページに利用規約への隠しリンクが設定されていたのである。非常に薄い文字で表示されており、ほとんど気がつかない(図9)。
こうして表示した利用規約であるが、たしかに利用料金が設定されている(図10)。
しかし、この利用規約を見つけるのは不可能に近い。このような巧妙な手口を複数備えているのが特徴だ。
1日でも長く公開されるために
さて、図2のダウンロードから最終的にパスワードを音声ガイダンスで取得させるまで、多くのステップを踏ませる。しかも、ユーザーを誘導するだけなので、その動作から悪質であるかどうかの判定は難しい。そして、多くが手動操作によって、次のステップに進むので、人出による解析に頼るしかない。結果的に、不正アプリであることを判定するには、ある程度時間がかかってしまう。 なぜ、このようなことをしているのか?
理由は、詐欺アプリを1日でも長く、Google Playで公開させることに目的があると濱田氏はいう。シマンテックでは、不正アプリとして検知すると、速やかにGoogle Playに情報提供し、削除となる。多くの不正アプリは、公開されたその日のうちに削除となることが多い。しかし、この詐欺アプリのように数日は公開されることがある。濱田氏は、新たな不正アプリの開発が終息する気配がまったくないことから、攻撃者がまだ十分に利益を上げている状態とのことだ。
この詐欺アプリのダウンロード数は、その時点で数百となっていた。しかし、実際には1,000人以上がダウンロードをした可能性があるとのことだ。そして、このうちの何人が31万5,000円もの金額を払ってしまったかはわからない。仮に数人だとしても、攻撃者にとってはかなりの利益をもたらしていることは想像しやすい。しかし、筆者もこれまで数多くのワンクリック詐欺などをみてきたが、これまで高額な請求はあまり記憶にない。高くても、せいぜい10万円くらいであった。短期間でより高い利益を狙っているのかもしれない。
濱田氏によると、このような悪質なアプリが7月初め以降100個以上もGoogle Playで公開されているとのことだ。シマンテックは、引き続き情報提供を行っているが、やはりいたちごっこという状況が継続しているといえるだろう。さらに、検索結果なども悪用されている。
シマンテック製品では、この詐欺アプリをAndroid.Oneclickfraudとして検出する。類似のアプリも多く、解説や評価から判断をするのは難しい。やはり、セキュリティソフトを使い、対策を施すのがもっとも確実な方法といえるだろう。