トレンドマイクロ フォワードルッキングスレットリサーチ シニアリサーチャー 林 憲明氏

トレンドマイクロは12月3日、都内で「スマートフォン向け脅威動向セミナー」を開催し、スマートフォンを狙った最新のサイバー脅威に関する情報の発表を行った。

セミナーでは、トレンドマイクロ フォワードルッキングスレットリサーチでシニアリサーチャーを務める林 憲明氏が脅威に関する説明を行った。

林氏は初めに、2010年8月に世界で初めて検知したAndroid OSを狙った不正アプリを振り返った。「この不正アプリはアダルト動画再生アプリとして拡散されたもの。プレミアムSMSを利用した詐欺アプリで、ユーザーが認識することなく課金される仕組みとなっていた。しかし、現在ではこのような単純なアプリだけではなく、様々な高性能な不正アプリが増えている」。

現在、不正アプリの総数は100万件を突破しているが、トレンドマイクロではアプリによってリアルタイム監視を行い、不正アプリがインストールされようとしているAndroid端末を食い止めている。セミナーでは実際にリアルタイム監視していたモニタリング画面を動画で再生し、世界地図上で赤く光った瞬間を見せて「不正アプリを検出した瞬間」を見せた。この世界地図では、日本の多くは青い正規アプリのインストールで埋め尽くされており、おおむね問題がないように見える。

しかし、不正アプリは手口の多様化や巧妙な攻撃が容易に実現できるようになった背景から、犯罪の成功確率が高まってきているという。

正規マーケットでも安心できない

特にここ最近、犯罪者のトレンドは、正規のアプリマーケットが持つ信頼感を利用するというもの。国内の通信事業者などが運営するアプリマーケットは数が少なく、厳正なる審査のもとに運営しているため、監視の目をかいくぐることは難しい。しかし、最大のAndroidアプリマーケットである「Google Play」については、これまでにも報道されているように多くの不正アプリが掲載される状況に陥っている。

一方で、犯罪者にもリスクはある。それはストアに掲載されるための審査だ。アプリが不正なものかどうかスキャンする機能をGoogleは実装しており、掲載時の「初回審査」と定期的な「巡回審査」の二通りが存在する。

これを回避するために行っているのが「機能限定」と「時間差攻撃」だ。

取得する権限を少なくして監視の目をかいくぐる「機能限定」

機能限定は今年1月以降に多く見られる傾向で、不正アプリに多かった様々な権限の取得をせず、インターネット接続のみ要求するアプリが増えている。

実質的にブラウザアプリとして機能させて、接続先に詐欺サイトを指定して詐欺行為を行うことでGoogle Playからの排除を避けようとしているという。もちろんGoogle側もこのような回避策について認識しており、比較的早い段階でPlayストアから削除するものの、一部のオープンマーケットなどでは見抜けずに掲載が続くケースもある。

機能限定では、その簡素な作りから、ソースコードをコピー&ペーストして似たようなアプリを大量に作成している犯罪者グループがいることもわかっている。開発者名を使い分けて投稿することで、一括で排除されることを回避しいるというが、トレンドマイクロが電子署名を解析したところ、無作為に抽出した300件の詐欺アプリのうち80%にあたる241件が同一署名であることが分かっている。

いったん監視の目をかいくぐる「時間差攻撃」

もう一方の「時間差攻撃」では、最初は無害なアプリであるものの、更新通知が来てアップデートを行うことでたちまち不正アプリへと変身してしまう。例えば、攻撃キャンペーン「BadNews」では、正規マーケットの外部から更新プログラムを送っており、アプリのマーケットからの削除が遅れたという。実際に、機能限定のワンクリック詐欺アプリは平均寿命が2日程度であるのに対して、BadNewsでは33日間も生き長らえたという。

ただ、この攻撃はマーケット運営者による定期的な不正アプリの巡回審査の目をかいくぐる必要があるほか、外部からの更新プログラム配信を行うためにインフラ整備も行う必要があり、高い技術レベルを要求される。また、Google Playでは春にポリシーの更新を行い、Google Play以外からの更新プログラム配信は原則的にできなくなっている。

そのため、「インフラを別に用意する必要がない最低限のものを作れば良いワンクリック詐欺と、時間差で不正アプリを配信する時間差攻撃アプリではどちらが今後の主流になるという話ではなく、状況に応じた使い分けが想定される」(林氏)としている。

今後は不正コードを複数のアプリに分散するタイプも登場?

また、林氏は今後出てくると思われる不正アプリとして「複数のアプリを提供して一緒にインストールすると、不正なアプリとして動作するようなものも出てくるだろう」と話す。これは、不正コードを分散することで、マーケット運営者の審査を回避して掲載できるようにするもの。複数のアプリをインストール要求されたらインストールしないのではないかとの疑問も浮かぶが「例えばコンテンツアプリとビューワーアプリという形で提供された場合、ユーザーは疑いを持たずにインストールしてしまうだろう」(林氏)としていた。

無料で正規アプリを不正アプリ化してしまうツールキット

セミナーの最後には正規アプリを不正アプリ化するツールキットのデモンストレーションが行われた。これは、正規アプリと遠隔操作アプリを結合するツールでわずか40KBの容量増加でまともなアプリが犯罪者によって書き換えられてしまう。遠隔操作によって保存データやSMSを盗み取れるだけではなく、音声の盗聴や位置情報の検索もできるという。

このツールキットの問題点は、正規アプリの不正アプリ化だけではなく、技術レベルが低い犯罪者であっても容易に不正アプリを製作できてしまうことにある。ツールキットは当初、ブラックマーケットで37ドルの販売価格で取引されていたが、現在は完全に無料化してしまったという。完成度の高い父性アプリが容易に出回ることは由々しき事態ともいえるが、林氏は「不正アプリのハッシュ値とリパック元のハッシュ値が異なるため、トレンドマイクロでは検出できる」としていた。