コラム

スマートフォン・サイバー攻撃対策ガイド「偽警告・偽契約詐欺対策」

 

JSSEC技術部会 スマートフォン・サイバー攻撃対策ガイド
第6回 偽警告・偽契約詐欺対策
JSSEC技術部会マルウェア対策WG
本間 輝彰(KDDI株式会社)

 

はじめに
 スマートフォンへの攻撃手段として、スマホの仕様や利用者の心理的弱点をついた攻撃が多々存在しています。というのも、すべてのセキュリティの中で最も脆弱なのは人間であり、テクニカルな脆弱性をついて攻撃するより人を直接攻撃した方がはるかに効率であるからと言えます。
 本コラムでは、利用者の心理的弱点を狙い、HP閲覧中やスマホ画面に偽の警告を表示し、個人情報の取得やマルウェアのインストールへの誘導、直接金銭を要求する代表的な詐欺として偽警告詐欺、偽契約詐欺、さらには、iPhoneをターゲットに行われているカレンダー詐欺についての説明と対策を行います。
 これら詐欺の多くは、PCでのインターネットやガラケーの時代から存在していた手法ではありますが、スマホの登場によりその攻撃手段が年々多様化・巧妙化している状況となります。

〇偽警告詐欺
攻撃の概要
 偽警告詐欺はHP閲覧中に図.1に示すような警告を表示し、そこからのリンク先で誘導しマルウェアのインストールをさせるたり、個人情報を入力させ個人情報搾取する詐欺となります。また、正規マーケット(App StoreやGoogle Play)に誘導しマーケット上のアプリをインストールさせ、そのアプリから課金させるという攻撃もあります。

 偽警告は、ウイルス感染などセキュリティ警告を表示し、利用者の不安を煽ってだますものが多く見受けられます。また、その他には、アプリのバージョンアップやデバイスの改善を促すようなものだと多種多様な警告を表示し、利用者の安心感、お得感を与えてだますようなものも存在しています。
 また、偽警告を出すために、SNSなどで話題のキーワードを検索した結果から遷移先で警告表示をさせるといった手の込んだ方法も存在しています。

Fig 
図1. 偽警告詐欺例

 

技術解説
 偽警告詐欺はいくつかの攻撃方法が存在しますが、代表例の一つが図.1の例にもある“ウイルス感染の警告”や“セキュリティアップデート”を表示するものとなります。このような警告が出ると、利用者はウイルスに感染してしまったなど不安に感じ、表示にしたがい操作を行い、結果としてだまされることになります。また、他には図.1の例にもある“性能向上”や“アプリのアップデート”を表示することで、利用者にお得感などのメリットを感じさせてだますという方法もあります。特に、アプリのアップデートでは“Chrome”のアップデートと偽ることで、利用者を信用させることでだまされていることに気づかせないということも行っています。
 また、本攻撃のゴールとしては、図.2に示す通り、マルウェアをインストールさせ、botとして活動させる、個人情報の搾取を行うことが目的となります。また、最近では正規マーケットに誘導することで利用者を信用させ、そこでアプリをインストールさせて、そのアプリを利用するための課金をさせ、正々堂々と金銭を得るという方法も行っています。正規マーケット経由で課金させる理由としては、iPhoneはOSの仕様上、App Storeからしかアプリがインストールできないため、マルウェアに感染させるという攻撃が出来ないため、マーケットの課金機能を利用して直接金銭入手を行い、Androidも同様の方法が使えることから、両OSで同じ手段をつかっているものと推測されます。

Fig 
図2. 偽警告詐欺の攻撃の流れ

 

対策
 偽警告詐欺や偽契約詐欺で表示する画面は、HTMLの仕様に準じたものであり、その表示を技術的にブロックすることが出来ません。セーフブラウジングにより、詐欺サイトにアクセスした際にアクセスがブロックされる可能性はありますが、攻撃者はURLを頻繁に変えてくるなど対抗をしてくるため、利用者がこのような詐欺が存在するということを理解し、万が一このような表示が出ても無視することが一番の対策となります。
 また、万が一、アプリをインストールしようとしても、正規マーケット以外のアプリの場合、提供元不明なアプリのインストールを許可されておらず、インストールには許可をする必要があります。したがって、提供元不明なアプリのインストールの許可を求めてきた際には、許可しなければマルウェアがインストールすることはありません 。(マルウェアについては、JSSEC技術部会 スマートフォン・サイバー攻撃対策ガイド 第5回 マルウェア・bot対策で解説していますので、こちらを参照するようにしてください。)
 その他に、表示された警告から正規マーケットに誘導し、アプリインストールを促すことはありません。したがって、正規マーケットに誘導されても、安易にアプリをインストールすることはしないことが重要です。

 なお、正規マーケットに誘導された場合、誘導されたアプリはマーケットの審査を通過しており、アプリが不正を働く可能性は低いと思われます。一方、そのアプリ利用にあたり、課金を要求し合法的に金銭を取得することをしてきます。
 したがって、正規マーケットに誘導されても、よくわからないアプリはインストールしないことが一番の対策となります。また、そのアプリが怪しいか否かを判断するには、アプリの評価を確認することで確認できるケースがほとんどとなります。図.3に示しますように、怪しいアプリは、一見評価は高く見えますが、レビューコメントを確認すると、いわゆる工作員とよばれる人が高い評価の書き込みをしている一方、問題を指摘している多くのコメントがあります。このように、一見評価が高くても、レビューコメントに問題が多く指摘されているアプリはインストールしない方が安全となります。

Fig 
図3. 怪しいアプリのレビュー例

 

〇偽契約詐欺
攻撃の概要
 偽契約詐欺は、ゼロクリック詐欺、ワンクリック詐欺と言われる攻撃方法で行われる詐欺となります。
 ゼロクリック詐欺は、画面が表示されてしばらくすると図.4に示すような契約が完了しましたなどの画面が表示することから、利用者のアクションなく詐欺を行うことからゼロクリック詐欺と呼ばれています。一方、ワンクリック詐欺は年齢確認や動画再生ボタンをクリックし画面遷移した際に、同じく図.4のような契約が完了しましたなどの画面が表示されることからワンクリック詐欺と呼ばれています。

 これらの詐欺の多くは、違法動画・画像コンテンツサイトや不適切な有害サイトを閲覧中に表示されるケースが多く、画面には連絡先も記載されており、直接金銭を要求することが一般的です。

Fig 
図4. 偽契約詐欺例

 

技術解説
 偽契約詐欺は、違法動画・画像コンテンツサイトや不適切なサイトを閲覧中に表示させることで、利用者のやましい気持ちにつけこんでだますというのが特徴です。
 また、図.4で示すようにご利用端末情報を表示する、アクセスしてきたIPアドレスなどを表示することで、あたかも利用者が特定しているように思わせることで、利用者の不安をさらに煽り、結果として問合せ先に連絡をしてしまい、請求から逃れられない状況を作り出すのが特徴です。

対策
 偽契約詐欺において、“契約が完了しました”などの表示が出ても、利用者の承諾がなく契約が成立することはないため、焦って相手に連絡しないことが重要です。
 違法サイトや不適切なサイトにアクセスしていたことで、やましさや不安な気持ちから連絡をしてしまい金銭要求を受け支払ってしまうケースがあると想像されますが、金銭を要求されても無視する、場合によっては警察に相談することをお勧めします。また、携帯キャリアに相談し、電話番号を変更し、連絡が取れないようにするという対策もあります。ただし、電話番号は再利用されるため、次にその番号を使った人に、不明な連絡が入って迷惑がかかる可能性があるので最後の手段と考え、繰り返しになりますが、相手に連絡しないということが重要です。

〇カレンダー詐欺
攻撃の概要
 主にiPhoneを狙ったカレンダー詐欺というのが存在しています。カレンダー詐欺は図.5に示すような“カレンダーで開きますか”などの画面を表示し、その後に“カレンダーの照会を追加”を促し、OKするとiPhoneにカレンダー用のアカウントが追加され、カレンダーの機能を使って、画面にセキュリティ警告などを表示し、その表示のリンク先で各種詐欺などを行う攻撃となります。

Fig 
図5. カレンダー詐欺例

 

技術解説
 カレンダー詐欺は、iPhoneのカレンダーの照会機能を巧みに利用した攻撃になります。照会機能は、登録した照会元で予定を追加すると、自動でカレンダーが反映される機能で、グループで予定を管理する際などに使われています。
 攻撃者は図.5に示した画面が表示し、利用者がそれを開いて受け入れてしまうと、図.6の一番左の図の青枠で囲まれているとおり、照会できるカレンダーが追加され、攻撃者が予定を追加すると図.6の中央2つの図に示す通り自分のiPhoneにも予定が追加されます。また、追加された予定の通知時間になると、図.6の一番右の図の通り、ポップアップ表示されそのリンク先で詐欺行為が行われます。
 ここでの攻撃は、偽警告詐欺で説明したように、正規マーケットに誘導しアプリをインストールさせ、さらにアプリ課金させる、誘導されたサイトで個人情報を入力させ個人情報搾取する攻撃などが行われます。
 カレンダーに照会先が登録されていることに気づかない場合、照会先で予定を登録する都度、何度も予定の通知時間になるとポップアップ表示されることになります。

Fig 
図6. カレンダー詐欺の攻撃流れ

 

対策
 カレンダー詐欺では、図.5に示すようなカレンダーへのアクセスを求める画面が出来ても絶対に開かないことが重要です。

 誤ってカレンダーへのアクセスを許可してしまった場合は、図.6に示しているとおり、見知らぬカレンダーが照会として登録されます。この照会の設定を消さないと、警告表示が何度も表示されることになりますので、この設定を削除する必要があります。削除する際は、図7左図に示すようにiPhoneのアカウント設定を開くと、照会したカレンダーとして見知らぬ設定がありますので、この設定を削除してください。この設定さえ削除すれば、カレンダーからも照会されている見知らぬ設定が削除され、以後、警告は表示されなくなります。

 また、カレンダーへ登録したことを気づかなかった場合には、スマホ画面上に図.6右図のような警告などが表示されるようになります。このような表示が出た際には、警告は無視して絶対にそのリンクにアクセスしないようにすることが重要です。万が一、アクセスすると、個人情報の入力を要求や、正規マーケットに誘導され課金を要求するアプリのインストールを即される可能性があります。

Fig 
図7. 照会したカレンダーの登録例

 

まとめ
 偽警告詐欺、偽契約詐欺、カレンダー詐欺のすべてが、サービス仕様をうまく活用し、利用者をだますことによって成立しているものとなります。

 また、これら詐欺は、いわゆる脆弱性をついたものではなく、技術で防ぐには限界があり、利用者一人一人が注意深く行動するしか効果的な対策がないというのが現実です。そのためには、利用者がセキュリティに対する知識を向上し、注意深く行動していくことが重要となります。
 

JSSEC技術部会スマートフォンマルウェア対策WG『スマートフォン・サイバー攻撃対策ガイド』に戻る