スパマーやマルウェア開発者がアプリのアップデートに細工をする目的で合法的なアプリを購入している、という話を耳にした方がいらっしゃるのではないでしょうか。このような攻撃者が狙っているのは、すでに手元にあるアプリの安全性を信頼している巨大なユーザ層です。ユーザがすでにインストールし、信頼を置いているアプリを感染させれば、これまでとは異なる新しいユーザ層を対象に、アドウェア、スパイウェア、マルウェアなど悪意のあるプログラムをインストールさせることができるわけです。

最近、感染アプリとしてよく話題に上がるのがChromeとFirefoxの拡張機能です。多くの場合、ブラウザの拡張機能はデータを開発者や第三者に送信しますが、データが送信されることを開示することによって、このような処理の許可をユーザから得ています。また、広告の提供元をある程度開示することによって、Webサイトに独自の広告を挿入することも許可されています。これに対して、閲覧データをすべて収集して第三者に送信する行為や、ユーザが閲覧する内容に応じて第三者の広告を挿入する行為は一般的に許可されていません。しかし実際には、このような操作を行う拡張機能が存在するのです。

さらに問題なのは、一部の拡張機能は、スパムコードがすでに挿入されているにも関わらず有効になっていない状態で提供されるという点です。

Autocopy Originalという拡張機能でテストを行ってみました。拡張機能を操作して、ユーザ操作のトラッキングを有効にしたところ、即座に大量のデータがサーバへと送信されていきました。このような拡張機能は、Chromeストアでは73%を占め、Firefoxにもいくつか存在します。このような拡張機能の提供元はすべてwips.comまたはwips.comパートナーなので、簡単に特定できます。

開示されているのは拡張機能の処理内容のみで、休眠中のコードの処理内容は開示されません。休眠状態のコードは、アップデートで活動を開始します。

恐ろしいですね。

スパマーが合法的なアプリを購入する理由は、使用目的ではありません。バラクーダネットワークスのリサーチサイエンティストであるジェイソン・ディング博士(Dr. Jason Ding)は、Rovioの「Bad Piggies」のコピーキャットアプリについて取り上げています。これは、悪意のあるアドウェアを仕込んだアプリのWebバージョンです。

Chrome Webストアで「Bad Piggies」を検索すると、8件ヒットします(図1)。このプラグインはすべて、ゲームのタイトルに「Bad Piggies」という文字列はありませんが、説明に含まれているので検索でヒットするわけです。
バラクーダネットワークスのラボチームがこのゲームを詳しく調べてみたところ、いくつか疑わしい点が見つかりました。このプラグインのうち7つの提供元はすべてwww.playook.info(「無料の」フラッシュゲームのメーカー)です。Whoisで調べてみたところ、Whoisguardで名前を隠しているので何もわかりません。企業が名前を隠すという時点ですでに非常に怪しい会社だということになります。さらに、この7つのプラグインはなんと、「すべてのWebサイトにあるデータ」へのアクセス許可を要求するのです。

クリックして全文と画像を表示)

このようなスパマーの危険が潜んでいるのはChrome Webストアだけではありません。今週の始め、バラクーダネットワークスのSignNowチームは、コピーキャットアプリの情報を公開しました。

2週間ほど前、App StoreでGameStruct, Inc.が提供するSignNowという名前のアプリを見つけました。詳しく調べてみると、正当な販売方法ではなく、消費者を混乱させてアプリを購入させようとする動作が認められました。

このアプリには、さらに大きな問題がありました。

このアプリのオリジナルは、Tektrify, Inc.が開発したコードベースであり、2013年12月9日に「SignPDF」という名前でリリースされています。SignPDFという本物のアプリを模倣したのがこのアプリであり、2014年1月7日にSignNowとしてリリースされました(iOS7のマイナーチェンジを追加)。

つまりこれは、不正アプリの名前の変更を繰り返すことで、ユーザに正当なアプリだと思わせる手口であり、メールスパマーと非常によく似ています。

このようなスパマーの被害に逢わないようにするには、次の点に注意し、アプリのインストールは慎重に行ってください。

拡張機能やアプリケーションに必要以上のアクセス許可を与えないでください。必要以上のアクセス許可を求める拡張機能やアプリはインストールしないでください。
匿名による使用データの収集を無効にしてください。
使用中の拡張機能が、ここに掲載されているようなリストに含まれていないかチェックしてください。
Extension DefenderShield for Chromeなどのツールを適宜活用してください。
アプリが本来とは異なる動作をしないかチェックします。

最善の防御策は、コンピュータで自分が実行しているアプリに常に意識を向けることです。アプリの詳細規定をよく読んでから、インストールすることが重要です。

クリスティーン・バリー(Christine Barry)(バラクーダネットワークス、チーフブロガー)

本稿は、バラクーダネットワークスのWebサイトに掲載されている『バラクーダラボ』2月5日付の記事の転載です。