宅配業者装う SMS に注意　スマホ乗っ取られ詐欺に悪用

宅配便業者をかたる虚偽のショートメッセージサービス (SMS) の指示に従ったら、電話番号が乗っ取られて詐欺に使われた - -。　愛知県警が、こんな被害を確認した。　情報を流出させる不正アプリが、知らぬ間に携帯電話に導入されたのが原因らしい。　県警は、宅配便の不在通知を装う虚偽の SMS への注意を呼びかけている。　愛知県警は 5 月、スマートフォン向けの QR コード決済サービス「PayPay （ペイペイ）」に他人のクレジットカード情報を登録して家電を購入したとして、栃木県の男 (21) を詐欺容疑で逮捕した。

事件に使われた決済サービスは、東京都文京区の男性 (35) の携帯番号で利用登録されていたが、男性には思い当たる節がなかったという。　だが、男性の携帯電話は昨年 12 月、宅配便の「佐川急便」をかたる偽の SMS を受信。　「お荷物のお届けに上がりましたが不在のため持ち帰りました」という内容だった。　男性は「ご確認下さい」と記されているそばにある URL （インターネットサイトのアドレス）にアクセスしていた。　県警によると、男性の携帯番号でサービスに登録されたのは、男性に SMS が届いた直後だった。　その日のうちに、名古屋市内の家電店で決済サービスが不正利用されていた。

男性の携帯電話に、何が起きたのか。　県警は、男性が URL にアクセスした際に、男性の携帯電話に不正なアプリが導入されたとみている。　独立行政法人「情報処理推進機構 (IPA)」や捜査関係者によると、この不正なアプリはスマホに届く SMS の内容を画面上に表示させずに盗む機能があるという。　ペイペイを利用する際、利用者の電話に運営会社側から「認証コード」が送られてくる。　利用手続きをする中で、この認証コードを入力させ、電話の所有者の確認をする仕組みだ。

県警は、犯人グループが、不正アプリを通して東京都の男性の携帯電話の番号などを不正取得し、この男性になりすまして決済サービスに登録。　その上で、別ルートで入手した他人のクレジットカード情報を支払い用に登録し、栃木県の男に不正利用させていたとみている。　県警によると、栃木県の男は他に 3 つのアカウントも使い、計約 1 千万円相当の商品を購入していた。　アカウントは埼玉県狭山市、川崎市、大阪府貝塚市に住む 28 - 38 歳の男性の電話番号で作られていた。　県警は、少なくとも 2 人のスマホにも、同様の経緯で不正なアプリが導入されていたことを確認したという。

被害に遭わないための主な対策 （IPA やトレンドマイクロなどへの取材に基づく）

• 身に覚えがない SMS ・メールが届いても、URL はクリックしない。　佐川急便を連想させる「sagawa」の文字列が入っていても、偽サイトの可能性が高い
• （アンドロイドの場合）設定で「提供元不明のアプリ」を「オフ」にして、不正なアプリが導入されないようにする
• （アプリを導入してしまったら）スマホを機内モードにして、削除する
• スマホ向けのウイルス対策ソフトを導入する

◇

「想定外」の感染、利用者は注意を

運送会社をかたった不審な SMS は、昨年ごろから出回っている。　IPA などによると、特に昨年 7 月ごろから、佐川急便を装った SMS についての相談が急増。　その後もヤマト運輸、日本郵便をかたるタイプも出てきている。　いずれも URL をクリックすると偽サイトに移動し、不正アプリが導入させられる。　こうした不正アプリは、同種の偽 SMS を、スマホに登録されている家族や友人らの電話番号にも送りつけ、拡散させる機能などがあることが分かっている。

新たに今回の愛知県警の捜査で、不正アプリには自動的に偽 SMS を拡散させるだけでなく、内部の SMS などの情報を入手し、犯罪に悪用する別の狙いもあることが明らかになった。　捜査幹部は「利用登録時の認証コードや一時的なパスワードを SMS で送るサービスは他にもある。　同様の手法で突破される恐れがある。」と指摘する。

神戸大大学院の森井昌克教授（情報通信工学）は「スマートフォンをマルウェア（悪意があるプログラム）に感染させるのが流行している。　情報がとられ、所有者が想定していないことが起こるということが明確になった。」　ただ、安全性を高めようとすると、利便性が下がったり、コストもかかったりする。　「サービス提供側だけでなく、利用者もマルウェアへの感染やクレジットカード情報の流出などに気をつける必要がある」と指摘する。

ペイペイの広報担当者は「キャッシュレス推進の機運が高まるなか、阻害要因になりかねない犯罪行為で遺憾。　被害に遭わないように注意喚起していきたい。」とコメントした。　「（利用手続きについては）問題が続くなどの状況があれば、システム改修などを検討していく」としている。 (田中恭太)

iPhone ではサイト誘導に注意を

偽の SMS 自体はどのスマホにも届くが、不正アプリは、基本ソフトが「アンドロイド」のスマホでアクセスした場合に限られる。　元々、外部のアプリの導入が制限されている iPhone では、偽 SMS の URL へアクセスすると、電話番号などの入力を求められる偽サイトに誘導される。　応じてしまうと、身に覚えのないサービスの利用料金を請求されるなどの恐れがあるという。 (asahi = 6-15-19)

「佐川急便」をかたる偽 SMS が横行　不正アプリを導入しないで!

佐川急便を装った偽 SMS （ショートメール）が、スマートフォンで出回っている。　SMS から偽サイトへ誘導され、Android 端末に不正アプリを導入させられた被害者は、インターネット上で勝手に買い物をされてしまうなどしているようだ。　「提供元不明なアプリ」もしくは「不明なアプリ」の導入は、避けた方がいい。　そもそも、佐川急便が不在通知などの連絡に SMS を用いていないことは、はっきり認識しておきたい。

本物の佐川急便サイトによく似た偽サイトへ誘導

内閣サイバーセキュリティセンター (NISC) は 7 月 26 日、今回の偽 SMS について Twitter で注意喚起した。　宅配便会社をかたったフィッシングメール（偽メール）は以前にも横行したことがあったが、今回はさらに悪質で巧妙な不正アプリが駆使されている。　佐川急便の公式サイトと、SMS からの誘導先となっている偽サイトとを比べてみよう。　写真やサイトのメニューを並べた上部のデザインはほぼ同じで、URL も似ている。　だまされる人がいるのも分かる。

しかし、サイトの下部は大きく異なる。　公式サイトは、消費者に向けて佐川急便が発したニュースやお知らせなどが並んでいる。　これに対し、偽サイトは「設定マニュアル」として、アプリの導入方法を掲載している。　「貨物追跡アプリ」と称する不正アプリだ。　設定マニュアルを読むと、「提供元不明のアプリ」の導入を「許可」にせよと指示されている。　アクセス権限の画面も載せており、「テキストメッセージの読み取り」、「ネットワークへのフルアクセス」なども許可するようにと書いてある。

これが、だましのテクニックなのだ。　不正アプリを導入させるため、画像の付いた懇切丁寧な説明で被害者をそそのかし、スマホのセキュリティーのためのガードを解除させてしまうのである。　不正アプリを導入させるための偽サイトは、7 月 30 日の午前 11 時時点でも動いており、筆者は安全な環境でアクセスしてみた。　リンクをクリックするか、数十秒放置すると、Android 型のスマホでは「sagawa.apk」というファイルをダウンロードしようとする。ちなみに、ihone では「ダウンロードできません」となる。

iTunes カードをキャリア決済で買われる被害も

佐川急便は公式サイトで、偽サイトへの誘導に使われる SMS やメールの注意喚起を出し、これまでに確認された文面も例示している。　不在配達を装ったショートメールの場合は「お客様宛にお荷物のお届けにあがりましたが不在の為持ち帰りました。　配送物は下記よりご確認ください。https://xxxx/sagawa （不審なリンク先）」などと記されている。　メールの場合は、件名が「出荷完了メール」とされて本文には不審なリンク先のアドレスだけが記されていたり、件名が「Web サービスご利用のご確認」とされて本文の一部に「▼ Web サービスログインはこちらから xxxxxxxxxxxxxxxxxxx （不審なリンク先）」とあったりと、いくつかのパターンがあるようだ。

被害内容は、まだ明確ではない。　Twitter やテレビ番組で紹介された被害者の声のうち、現時点で深刻なのは「キャリア決済で iTunes カードを数万円買われてしまった」というケースだ。　iTunes カードとは、前払い式のプリペイドカードで、iPhone で利用できる音楽やゲームなどのアイテムを買える。　これを、スマホの利用料金とまとめて携帯電話会社に支払える「キャリア決済」の制度を使って購入されてしまうのだ。　犯人は、不正アプリを駆使してアカウント情報を入手するか、被害者のスマホ端末を遠隔操作する手口を使っているのだろう。　複数の不正アプリを導入させている可能性もある。

不正アプリを入れてしまったスマホの電話番号は、さらなる犯行の発信元として悪用されてしまう。　被害者からは「佐川急便の名をかたった偽 SMS が、私の番号から任意の番号にあてて、送信されている」といった声が上がっている。　発信元とされた番号には、別の被害者から「佐川急便ですか?」という問い合わせの電話がかかってくるため、気がつくようだ。

関連するセキュリティー大手企業の情報も集めてみた

ESET 社の研究者 Lukas Stefanko 氏は、佐川急便をかたる SNS について、Twitter に投稿した。　英語の報告によると、Stefanko 氏は「ワーム型のアプリをユーザーにダウンロードさせており、SMS を介して感染を広げる。　モバイルバンキングのアカウント情報を盗み取ることもできる」ものだとみている。　ワーム型のアプリを駆使したサイバー攻撃については、トレンドマイクロ社が今年 1 月、調査報告を発表している。　ここで示された、不正アプリの活動例には、以下のようなものがある。

Android 型スマホから抜き取る情報

携帯電話番号、端末 ID、自身の端末管理者権限の有無、画面ロックの有無、国内の主要キャリア（ソフトバンク、ドコモ、au）製アプリのインストール有無

攻撃者が遠隔操作で実行できる不正

画面をロックしパスワードを変更する / 端末の管理者権限を得る / 「連絡先」の情報を収集して外部にアップロードする / SMS メールの内容を取得して外部にアップロードする / 他の不正アプリをダウンロードする / すでにインストールされている正規アプリをアンインストールして他の不正アプリと置き換える

Stefanko 氏の見立てが正しく、トレンドマイクロ社の調査報告が今回の件にも当てはまるとしたならば、かなり悪質な不正アプリが出回っていることになる。

佐川急便は SMS を不在通知に使わない　URL もよく見る

被害を防ぐには、まず SMS やメールのメッセージを不用意に信用しない気構えが大切だ。　佐川急便によれば「SMS では不在通知などの連絡はしていない」とのこと。　佐川急便を名乗る SMS は、無視しよう。

メールが来た場合は、リンク先の URL をよく確認すること。　佐川急便の公式サイトは「http://www.sagawa-exp.co.jp/」であり、これ以外の URL は偽サイトだと考えたほうがよい。　今回の偽サイトは「sagawa-（アルファベット 2 文字）.com」など、よく似たアドレスが使われているので警戒が必要だが、よく見ると本物とは違う。　メールのリンクは信用せず、クリックしないこと。　検索などから直接、佐川急便の公式サイトへアクセスしたほうが安全だ。

スマホでは、アプリの導入を公式サイトに限ることが重要だ。　Andorid 型スマホでは「Google Play （Play ストア）」が公式サイトに当たる。　アプリを配布するサイトは、ほかにも多数存在するが、回避したい。　どうしても必要な場合は、企業の信頼度や口コミ情報を念入りに調べたうえで、導入時に表示されるアクセス権限に怪しいものがないかを見てから、導入するかどうか判断してほしい。

詳しい対策を、端末のタイプごとにまとめた。

■ スマホのセキュリティー設定に「提供元不明のアプリ」がある場合

「設定」→「セキュリティ」→「提供元不明のアプリ」を、赤い枠内のような「許可しない」状態にする

「設定」→「セキュリティ」に「提供元不明のアプリ」という項目がある。　「提供元不明のアプリのインストールを許可する」という項目なので、許可しない（無効にする）を選ぶこと。　これで、Google Play 以外のサイトからはアプリが導入できなくなり、今回の不正アプリを阻止できる。　スマホのバージョンが「Android 7.1」以前の場合、この対策が当てはまる。

■ スマホのセキュリティー設定に「提供元不明のアプリ」がない場合

スマホのバージョンが「Android 8.0」の場合は、上記の設定がない。　Google Play 以外のサイトからアプリをダウンロードしようとすると「セキュリティ上の理由から（略）この提供元からの不明なアプリをインストールすることはできません」という表示が出る。　ここで必ず「キャンセル」を押すこと。　間違っても「設定」で許可をしてはいけない。　Android 8.0 には「Google Play プロテクト」という不正アプリなどを検出するセキュリティー対策サービスがある。　「設定」→「セキュリティと画面ロック」→「Google Play プロテクト」にある「端末をスキャンしてセキュリティ上の脅威を確認」を有効にしておく。

■ スマホが iPhone の場合

iPhone では、今回の偽サイトでの被害は出ないと思われる。　ただし、不正な改造を施した端末の安全は、保証できない。

■　パソコンの場合

パソコンの被害は今のところ確認されていないが、警戒は必要だ。　セキュリティー対策ソフトを導入し、OS やブラウザーなどを最新版にすることを心掛ける。

被害に遭ったら、拡大防止策を

万が一、この不正アプリの被害に遭った場合には、まずスマホを「機内モード」にすること。　こうすれば、さらなる偽 SMS の発信元として自分の電話番号を悪用されることは防げる。　そのうえで重要なファイルをバックアップし、スマホを初期化することを勧めたい。　これは、すでに複数の不正アプリを入れられてしまっている可能性が高いためだ。　電話番号やメールアドレスも、犯人に知られてしまっているので、変更したほうが安心できるだろう。 (三上洋、yomiuri = 7-30-18)

iPhone のポップアップを偽装!　超怖いフィッシング攻撃が報告される

最近は次から次へと新しい手法の詐欺が出てきますが、今回は iPhone ユーザーを狙うフィッシング攻撃方法が報告されました。　これは iPhone でよく見る「ポップアップ（ダイアログ）」を偽装したもので、最悪の場合 Apple ID のパスワードが盗まれる可能性が …。　現在この方法はまだ悪意ある人物によって使われてはいませんが、今後出回ることがないとも限りません。　どういったものか知っておいて、騙されないようにしましょう!

ポップアップを偽装するフィッシング攻撃とは

一体どのようなフィッシング攻撃かというと、Apple ID のパスワード入力を求めるポップアップで、iPhone ユーザーなら何度も目にしたことがある画面ですよね。　しかし実はこれこそが、今回報告されているフィッシング攻撃なんです!　本物と見比べてもこの通り、まったく見分けがつきませんね …。　今回、このフィッシング攻撃について報告しているのは Google のエンジニアである Felix Krause さん。　同氏によると iOS アプリの開発者（もしくは知識がある人物）なら、アプリにこのポップアップを表示させるのは非常に簡単とのこと。　さらにメールアドレスを表示せず、パスワードを入力させるダイアログもそっくり!

ということは … もしも悪意ある第三者が使用すれば、ユーザーのパスワードを簡単に盗めてしまうというわけですね。　iPhone ユーザーであればこのポップアップは何度も目にしていますし、なんの疑いもなくパスワードを入力してしまうかもしれません。　しかしご安心を。このポップアップを本物なのか偽物なのか、簡単に見分ける方法がありますよ!

本物と偽物を見分ける方法

Krause さんによると、本物と偽物を見分けるには「アプリを閉じればいい」とのこと。　もしもアプリを起動してポップアップが表示されたら、ホームボタンを一度押してホーム画面に戻りましょう。　ホーム画面に戻ってもポップアップが表示されたままなら、それは本物のポップアップです。　しかしもし、ホーム画面に戻った時にポップアップが表示されていないなら … それは偽物。　パスワードを盗もうとするフィッシング詐欺です。

ホーム画面に一度戻ってみるだけで「それが本物なのかフィッシング詐欺なのか」確かめることができるので、アプリを使っている時にポップアップが表示されたらまずは一度ホーム画面に戻る癖をつけておきたいですね。　ちなみに Krause さんはこの問題について Apple にすでに問合せているとのこと。今後 iOS のアップデートで修正される可能性もありますが、それまでは気をつけましょう!

ライターのひとこと

こんなん絶対騙される自信あるわ …。 (yumi、カミアプ = 10-11-17)

iPhone の画面に大量のアイコンが増殖、「YJSNPI ウイルス」が拡散中

iPhone など iOS デバイスのホーム画面を、男性の顔のアイコンが埋め尽くす、「YJSNPI （ヤジュウセンパイ） ウイルス」が SNS を通して広がっている、としてセキュリティ企業のトレンドマイクロが注意を呼びかけています。　「YJSNPI ウイルス」は、「iXintpwn （アイシントポウン）」とも呼ばれ、「TROJ_YJSNPI.A」として検出されています。　これは、正確にはウイルスやマルウェアではなく、不正な構成プロファイルです。　iOS の動作上の制限を解除する「Jailbreak （脱獄）」が可能になるなどと誘導された URL にアクセスすると、「ヤジュウセンパイ」と呼ばれる男性の顔のアイコンで埋め尽くされる、というものです。

この構成プロファイルがインストールされると、男性の顔のアイコンがホーム画面に大量に作成され、端末が応答不能になるなどの症状が発生します。　構成プロファイルは、企業などが大量の端末の設定やアプリを一括管理するのに用いられますが、「YJSNPI （ヤジュウセンパイ）ウイルス」はこれを悪用したものです。　作成されるアイコンは「削除不可」に設定されており、そのままではユーザーが削除することはできません。

しかし、Apple が Mac 向けに提供している iOS 構成管理アプリケーション「Apple Configurator 2」を使って不正なプロファイルを削除できます。　「Apple Configurator 2」は Windows 向けには存在しないため、Mac を持っていない場合は端末を初期化し、バックアップから復元することで対処可能です。　iPhone などの iOS 端末は、アプリが Apple による厳格な審査の上で App Store のみで公開されるなど、ユーザーがしっかり守られているのが特徴です。　「脱獄」は、iOS の機能をユーザーが解除するものですが、セキュリティ面で非常に危険が大きく、「脱獄」した端末は故障などの際に Apple のサポートも受けることができません。

トレンドマイクロは、「脱獄」が非常に危険であることを認識するとともに、発行元が不明な不審なプロファイルを許可しないよう、注意を呼び掛けています。　当サイトとしても、興味本位で「脱獄」を試そうとしたり、SNS で拡散される不審な URL にアクセスしたりしないことを強く推奨いたします。 (iPhoneMania = 9-28-17)

【衝撃事件の核心】 中国人組織の "爆買い" 詐欺　アップルペイ悪用、留学生「買い子」グループが暗躍

中国人らの犯罪組織が "爆買い" を装った詐欺事件を繰り返していた。　米アップル社の iPhone （アイフォーン）向け電子決済サービス「アップルペイ」で、他人名義のクレジットカード情報を使って商品をだまし取ったとして、大阪府警が詐欺容疑などで中国籍の留学生の男 2 人を逮捕していたことが 8 月、明らかになった。

男らはインターネット上で知り合った人物の指示を受け、家電量販店で 2 日間に高級腕時計やパソコンなど約 730 万円分を購入していた。　埼玉県警も同様の容疑で中国籍の男女 4 人を逮捕しており、2 つの「買い子」グループに同じ中国人組織が指示していたとみられる。　警察当局は、カード自体を提示せずに済むアップルペイの決済の手軽さを悪用した新たな手口とみて警戒を強める。

報酬は転売額の 2 - 3%

「今回は偽造カードではなく携帯電話を使った詐欺をやってくれ。報酬は大きい。」　府警に詐欺容疑などで逮捕された中国籍の留学生の男 (23) ら 2 人に対し、中国人向けの SNS （ソーシャル・ネットワーキング・サービス）を通じて指示があったのは、今年 2 月下旬のことだった。　府警国際捜査課によると、2 人に指示を出したのは、ネット上で知り合った中国人犯罪組織に所属するとみられる人物。　2 人は 1 月以降、SNS での指示に従い、中国人観光客を装って偽造カードでたばこの爆買いを繰り返していたという。　多額の報酬が得られる新たな指示を断る理由はなかった。

2 人は 3 月 26、27 両日、指示通り大阪市と京都市の家電量販店に足を運び、アップルペイを使ってロレックスの腕時計 4 点やデジタルカメラ、ノートパソコンなど 17 点（約 730 万円相当）を購入した。　捜査関係者は「商品は換金性の高いものばかりだった」と振り返る。　これらの商品は関東方面に発送された後に転売されたとみられ、転売額の 2 - 3% を受け取っていたという。　2 人は逮捕後、「日にちや店舗、商品を指定され、アップルペイで決済するよう指示された」と供述。　留学中の学費や生活費を稼ぐことが動機だった。

埼玉県警も 4 - 5 月、大阪の事件と同じ 3 月 26、27 日にアップルペイを悪用してたばこを大量にだましとったとして、詐欺容疑で中国籍の男女 4 人を逮捕。　両府県警は、同じ組織の指示を受け、同じタイミングで事件を起こしたとみている。

犯人側がバリアに守られ

事件の鍵を握るアップルペイとは、アップル社のスマートフォン「iPhone」などを使った決済サービスだ。　事前にクレジットカード情報を登録しておけば、店頭で読み取り機にスマホをかざすだけで買い物ができる。　今回の犯行は、アップルペイの利用登録の際に、本来のカードの名義人でない他人がカード発行会社の認証コードを入手することが可能だったことが背景にあるようだ。

府警によると、組織側がカードの名義人のさまざまなカード情報を把握した上でなりすまし、発行会社に「電話番号を変更した」などと連絡。　発行会社から買い子のスマホに認証コードを送らせていたという。　利用登録の際の本人確認が発行会社に任されていたことが「盲点」だった。　商品の購入時に店側が見抜くことはまず不可能といえる。　日本では昨年 10 月の導入以降、対応するカード発行会社が急増している。　捜査関係者は「犯罪組織はアップルペイのセキュリティーの脆弱性につけ込んでいる。　一度、カード情報が登録されてしまえば、犯人側は "バリア" に守られることになる」と指摘する。

バイアグラ購入試み …

大阪の事件では日本人男女 8 人のカード情報が不正使用された。　一体、情報はどこから流出したのか。　府警によると、流出した可能性が高いとみられるのが、カード情報を盗み取る「フィッシングサイト」と呼ばれる偽サイトだ。　被害者 8 人のうち数人は、未承認の医薬品を販売する 2 つの偽サイトで、バイアグラや育毛剤をカード決済で購入しようとしていた。　捜査関係者は「特定のカード発行会社の情報が抜かれていた」と明かす。

サイバー犯罪に詳しい摂南大の針尾大嗣准教授（情報学）によると、偽サイトの特徴としては、(1) 不自然な日本語表記、(2) 会社の所在地が不明、(3) 商品の値段が安過ぎる、(4) 国際郵便で商品を発送することになっている - などがあるという。　偽サイトだけではなく、中華料理店などでカード決済する際に個人情報を盗まれるケースもあるといい、針尾准教授は「身に覚えのない請求に早く気付けるよう、カードを使った買い物は少額でもしっかりと記録しておくべきだ。　カード発行会社の保険サービスを確認するなど、被害を最小に抑えるための予防策を取ったほうがいい。」と注意を呼びかける。

「事件は氷山の一角」

アップルペイのセキュリティーの隙を突き、中国人観光客による爆買いを装った今回の詐欺事件。　ただ、2 人は偽造カードを使い、たばこを大量購入する事件を繰り返しており、アップルペイを使った犯行に及んだのは、3 月下旬の 2 日間だけだったという。　アップルペイ事件が発覚したのも、たばこの事件が端緒だった。　大阪市阿倍野区のコンビニで 3 月、偽造カードを使ってたばこ 20 個（8,800 円相当）を買ったとして、2 人は 4 月に詐欺容疑などで逮捕された。

府警は押収した 2 人のスマホから「指示通りにアップルペイで商品を購入した」などと組織に報告していた形跡を発見。　その後、大阪だけでなく埼玉でも同様の事件があったことが判明した。　捜査関係者は「一連の事件の上部組織は同じだろう。　買い子が離合集散しながら全国を行脚しているようだ。」と指摘する。　訪日観光客の拡大で、もはや不審がられることがほとんどなくなった中国人の爆買い。　さらに、不正使用されにくい IC カード型決済が日本で進んでいないこともあり、偽造カードを使った爆買い詐欺事件は全国各地で後を絶たないという。　しかも、アップルペイを悪用すれば、爆買いに必要な大量の偽造カードを持ち歩く必要もないのだ。

「今回の事件は氷山の一角に過ぎないだろう。　アップルペイのような非接触型決済はさらに普及していくはずで、今後も同様の事件が起きるのではないか。」と捜査幹部は厳しい表情で語る。　警戒を強める府警では、爆買いした外国人らに対し、積極的に職務質問を進めている。 (井上浩平、sankei = 9-8-17)

「WireX」に乗っ取られた世界 14 万台の Android 端末が攻撃加担、Google は 300 種の不正をストアから削除

世界 100 か国で少なくとも 14 万台の Android デバイスが乗っ取られ、大規模な DDoS 攻撃に加担するという衝撃の事件が発生しました。　不正行為を行う「WireX」というボットネットが仕込んだアプリをダウンロードしたユーザーのデバイスは、知らぬ間にこの攻撃を行う側になっていたということです。　米 CloudFlare 社によると、感染源となるアプリは動画や音楽を再生するプレイヤーや着メロなど、誰でも使えるツール系の無料アプリでした。　Googleはアプリストア Google Play に公開されていた約 300 種類の「WireX」アプリを削除する手続きを開始し、アンチウィルスソフトはこのアプリをマルウェアとして認識する手配をしたとのことです。

世界規模の DDoS 攻撃が増えたのは 2017 年 8 月初頭頃からで、多くの米 CloudFlare 社や Akamai 社を筆頭としたコンテンツ配信ネットワーク (CDN) 各社を悩ませていました。　分かっているのは Android 端末であるということだけ。　CDN 各社は連携してこの世界規模のボットネット被害を食い止めるためコンソーシアムを結成。　Akamai・Cloudflare・Flashpoint・RiskIQ の各社が共同で公開した記事等によると、2017 年 8 月 15 日頃から継続的に攻撃が検出され、ピークである 8 月 17 日には世界 100 か国で 14 万台の Android デバイスが感染したとみられるとのことです。

正常なアプリに見える WireX の驚異

最初に発見された「WireX」が仕掛けられた Android アプリケーション「twdlphqg_v1.3.5_apkpure.com.apk」には不正な動きが認められなかったといいます。　しかし、これらのアプリはユーザーの知らぬ間に「WireX」からの号令に従い、大規模な DDoS 攻撃に加担していました。 CDN 連合の研究者達はこれら一連の「WireX」アプリに共通する痕跡（ユーザー・エージェント）が記録されているのを発見し、その駆除に乗り出すことができたとのことです。　現在、この「WireX」アプリはトロイの木馬型マルウェア「Android Clicker」として認知され、アンチウィルスソフトなどで駆除可能になっているとのことです。 (maskin、TechWave = 9-5-17)

個人情報を収集する中国 SDK ベースのアプリ、App Store から大量に削除

セキュリティ会社の米 SourceDNA は現地時間 10 月 18 日、米 Apple の「App Store」において、禁止行為であるプライベート API の使用による個人情報の収集を数百本のアプリケーションが行っていることを確認したと発表した。　SourceDNA の解析によると、これらアプリケーションはプライベート API を呼び出し、インストールされているアプリケーションのリスト、プラットフォームのシリアル番号、Apple ID などを取得する。　これら機能はすべて、中国のソフトウエア開発キット (SDK) 「Youmi」が提供するもので、App Store の審査をすり抜けるよう難読化が施されている。

SourceDNA は個人情報を勝手に収集する Youmi ベースのアプリケーションを 256 種類特定。　このうちほとんどが中国の開発者によって作成されていた。　しかし、抽出された個人情報はアプリケーションではなく Youmi のサーバーに送信されることから、アプリケーション開発者のほとんどはこの機能を認識していなかったと SourceDNA は見ている。　同社は開発者に対して Youmi SDK の使用を中止するよう呼びかけ、問題のアプリケーションの一覧を Apple に報告した。

Apple は、「当社は、Youmi の広告 SDK を使用し、ユーザーの電子メールアドレスや端末情報を入手してサーバーに送信する一連のアプリケーションを確認した。　Youmi SDK を用いたこれらアプリケーションは App Store から削除され、今後同 SDK を使うアプリケーションは登録を拒否される」との声明を発表した。 (鈴木 英子 = ニューズフロント、ITpro = 10-20-15)

アップル、個人情報漏洩のおそれがある複数アプリを App Store から削除

Apple は米国時間 10 月 8 日、ユーザーのプライバシーを侵害する可能性があるとみなした複数のアプリを同社の App Store から削除した。　問題のアプリの多くは、広告ブロック機能を採用したものだ。　これらのアプリでは、ルート証明書をインストールすることで、アプリ内の広告をブロックできるようにしている。　しかし、ルート証明書を使用すると、ユーザーの個人情報にサードパーティーがアクセスすることも可能になる。

Apple の広報担当者は、次のように述べた。　「ルート証明書をインストールする複数のアプリを App Store から削除した。　ルート証明書は顧客のネットワークデータの監視を可能にするもので、SSL/TLS のセキュリティを低下させることに利用されるおそれがある。　現在、それらアプリの開発者と協力して、顧客のプライバシーとセキュリティを危険にさらすことなく、アプリを早期に App Store へ復帰させられるよう作業中だ。」

今回の削除措置の 3 週間前には、マルウェアに感染した中国製アプリが 20 件以上も App Store で発見されている。　Apple が厳しく管理する App Store にこれほど多くの感染アプリが入り込んだことは過去に例がない。

今回削除されたアプリの開発者は、悪意があるとは見なされておらず、Apple はアプリの新バージョンを App Store に復帰させようとしている。　ルート証明書をインストールするプログラムは、ユーザーのインターネット上での活動を監視することが可能で、ユーザーの通信のみならず財務に関するデータまでがアプリのサーバへ送られるため、開発者やネットワークプロバイダーによってデータが監視される可能性がある。

Apple は削除したアプリの数やアプリ名を明らかにしていない。　だが、コンテンツブロックアプリの「Been Choice」は Twitter を通じて、同アプリが削除対象に含まれていたことを明らかにし、現在、Apple のセキュリティ基準に適合するようにアプリを修正し、再提出するための作業中だとしている。 (Daniel Van Boom、Cnet = 10-13-15)

中国製 iOS アプリ、マルウエアに多数感染　異例のアップル標的

【北京】 アップルのアップストアで配信されている中国の人気アプリの一部が、マルウエア（悪意のあるソフトウエア）に感染したことが明らかになった。　アップルのモバイル向け基本ソフト「iOS」に対するセキュリティー侵害は極めて異例で、今回見つかった種類の侵害は初めてとされる。　複数の研究者が明らかにした。　中国の電子商取引大手、阿里巴巴集団（アリババ・グループ・ホールディング）のモバイルウイルス対策部門、アリババ・モバイル・セキュリティーの研究者によると、感染の原因は、認証されていない改ざんされたアップルの開発ツールキットをソフトウエア開発者が使用したことだという。

マルウエアに感染した iPhone （アイフォーン）や iPad （アイパッド）向けアプリには、中国のインターネットサービス大手、騰訊控股（テンセントホールディングス）のチャットアプリ「微信（ウィーチャット）」、中国の配車アプリ「滴滴快的」、中国のポータルサイト大手「網易（ネットイース）」の音楽配信アプリなどがある。　米サイバーセキュリティー会社パロアルトネットワークスによると、感染アプリは 30 種類以上に及ぶ。

究者によると、感染アプリを使用するとユーザーの端末に関する情報が送信される可能性がある。　また、アップルのクラウドサービス「iCloud （アイクラウド）」のパスワード入力を促す偽のアラートが表示されたり、ユーザーのクリップボード上の情報を読み取ったり、そこに情報を書き込んだりする可能性もあるという。　アップルのコメントは得られていない。

テンセント、滴滴快的、ネットイースはそれぞれ週末にかけてソーシャルメディアに声明文を投稿し、自社のアプリがマルウエアに感染したが顧客の機密情報は流出していないことを明らかにした。　テンセントは 18 日夜、簡易ブログサイト「新浪微博」に投稿した声明文で「現時点でこれ（セキュリティー侵害）によるユーザー情報や資産の流出は発覚していないが、ウィーチャットチームは今後も監視とテストを続ける」と述べた。　また、更新済みの新しい、感染していないウィーチャットアプリをアップストアで既に配布していることも明らかにした。

アップルのアップストアを通じてマルウエアが拡散されるのは異例だ。　アップストアでは通常、厳しい審査をした上でアプリを配信している。　パロアルトネットワークスは 17 日のブログの投稿で、アップルの「iOS」を標的にしたこの種の攻撃は初めてだと述べた。　中国のネット検閲を監視する団体「GreatFire.org」によれば、アップストア史上「最も広範囲に及ぶ重大なマルウエア感染」だという。　中国政府が関与している可能性について、パロアルトネットワークスは攻撃の首謀者を特定できるだけの十分な情報がまだないと述べた。

研究者によると、マルウエアに感染したその他のアプリには、中国国営の通信会社、中国聯通（チャイナユニコム）や中国政府鉄道部が運営する列車チケット予約サイト「12306」のアプリなどがある。　チャイナユニコムも鉄道部も 20 日の時点ではコメント要請に応じていない。　感染アプリがどのようにしてアップルの審査プロセスをすり抜けたのか、また感染アプリによってユーザー情報が盗まれたかどうかは 20 日の時点では明らかになっていない。　研究者によれば、問題のアプリの利用者数からみて数百万の端末がマルウエアにさらされた可能性がある。

テンセントによると、ウィーチャットを日常的に使用するユーザーの数は 5 億人以上。　そのうち何人がアップルの端末を使用しているかは不明だが、調査会社 IDC によると、アップルが中国スマートフォン市場に占めるシェアは約 15%。　パロアルトネットワークスによると、今回のハッキングは中国の開発者が抱える特有の問題につけ込まれた格好だ。　アップルの端末向けアプリの開発には「Xcode」というツールキットを使用する必要があるが、中国ではアップルのウェブサイトから正規版をダウンロードするのに時間がかかる。

研究者によると、ハッカーはダウンロードの速さをうたい、マルウエアを仕込んだキットを中国のサーバーに投稿。　この偽の Xcode を使用して作成または修正したアプリがマルウエアに感染したという。　複数のセキュリティー研究者によると、偽の Xcode は中国のネット検索大手、百度（バイドゥ）が提供するクラウドサービス「百度雲」に投稿されていた。　百度の広報担当者は20日、偽の Xcode について通知を受けて即時にファイルを削除したと述べた。　アリババ・モバイル・セキュリティーの研究者はマルウエアを「XcodeGhost」と名付け、これについて17日からソーシャルメディアに相次いで投稿した。　文書で広く通知したのは同社が初めてだった。

パロアルトネットワークスは、ハッカーがマルウエアを使って何も盗まなかったとしても、iOSにとって脅威であることに変わりはないと警告した。同社のセキュリティー研究者、クロード・シャオ氏は18日の同社ウェブサイトへの投稿で「XcodeGhostは非常に有害で危険なマルウエアであり、アップルのコード審査をかいくぐり、iOS のエコシステムに前例のない攻撃を仕掛けている」と述べ、犯罪者やスパイがマルウエアを使用して iOS を搭載した端末にアクセスする可能性を指摘した。 (Josh Chin、The Wall Street Journal = 9-21-15)

◇　◇　◇

「脱獄」 iPhone にマルウェア、22.5 万件の情報盗まれる

ニューヨーク : 米アップルのスマートフォン「iPhone （アイフォーン）」が中国などでマルウェア（悪意のあるソフト）に感染し、22 万 5,000 件を超えるアップル・アカウントの情報が盗み出されていたことがこのほど明らかになった。　非公式アプリなどの利用を可能にするために「脱獄」という手法でプログラムを改変した iPhone が標的とされている。　セキュリティー・サービス大手の米パロ・アルト・ネットワークスが、中国の技術チームと共同で発見した。　アップル・アカウント情報を盗み出すマルウェアの被害としては過去最大の規模とされる。

「KeyRaider （キーレイダー）」と呼ばれるこのマルウェアは、脱獄済み iPhone 向けのアプリを提供する中国のウェブサイトなどに仕込まれている。　感染は中国だけでなく、米国など 18 カ国に広まっているとみられる。　KeyRaider に感染すると、所有者のアップル・アカウントに登録されたユーザーネームやパスワード、iPhone 用の ID、アプリの購入履歴などが盗まれてしまう。　iPhone がいったん乗っ取られると、所有者が修復することはできなくなる。

被害を受けたアカウントを通して他人がアプリを購入できるソフトも提供され、すでに約 2 万人がダウンロードしているという。　パロ・アルト・ネットワークスによると、アップル・アカウントの購入履歴に覚えのないアプリが載っているという苦情や、iPhone がロックされ、解除するために「身代金」を要求されるケースなどが相次いでいる。　脱獄は iPhone を自在に使いこなしたいユーザーが好んで使う手法ではあるが、今回のような攻撃を防ぐためにアップルが設けている重要なバリアを外す結果となる。

携帯端末向けセキュリティー大手、米グッド・テクノロジーの最高技術責任者 (CTO)、ニッコ・バンソマレン氏は「新たに得られる機能が新たなリスクに見合うものかどうか、ユーザーは慎重に検討する必要がある」と呼び掛けている。 (CNN = 9-2-15)