日本スマートフォンセキュリティ協会
JSSEC利用部会では、スマートフォン利用シーンに潜む脅威 Top10 2023を2023年2月28日に公表し、利用者の一人一人が安全にスマートフォン利用できるように訴求を行っています。しかしながら、スマートフォン利用シーンに潜む脅威は、他にもたくさん存在しているのも事実です。
そこで、今回は、スマートフォン利用シーンに潜む脅威 TOP10 2023 番外編として、「ポップアップ詐欺 ― あぶないアプリをインストールしていませんか?」というタイトルで、スマートフォン利用シーンに潜む脅威を説明していきます。
ポップアップ詐欺とは?
“ポップアップ詐欺”と聞いてなじみのある人はそんなに多くないかもしれません。
“ポップアップ詐欺”とは、一般的にはウェブページ閲覧中に、図1 ポップアップ広告例のように、画面に表示されるポップアップ広告を通じて、表示させたリンク先に誘導し利用者を騙す詐欺行為で、“偽警告詐欺”や“サポート詐欺”などと、ポップアップ詐欺の亜種となります。
図 1 ポップアップ広告例
また、ポップアップ詐欺ではありませんが、アプリ内に表示される広告のリンク先から誘導するケースもあります。
この“ポップアップ詐欺”では、 “メモリがいっぱいです”、“メモリをクリーンにします”、“スマホを高速化します”などと利用者にはメリットがあるような広告を表示し、Google PlayやApp Storeに誘導し、いかにも効果があると思わせるアプリをインストールさせるのが特徴です。
あぶないアプリとは?
“あぶないアプリ”については、いろいろと定義があります。マルウェアや脆弱性があるアプリなどは“あぶないアプリ“と言えます。しかしながら、本コラムでは、上述のようにポップアップ広告から、利用者に効果があると思わせてインストールさせるアプリを“あぶないアプリ”と定義し説明していきます。
また、“あぶないアプリ”の特徴として、前述の通り、利用者にとってメリットのあるような広告を表示するものが多々見受けられます。さらには、マルウェアと異なり、Google PlayやApp Storeといった、正規なアプリマーケットからダウンロードさせるのが一般的です。
以下に、“あぶなりアプリ”について、いくつかの実際のアプリ例をもとに説明します。
図2 あぶないアプリ例のアプリでは、便利で強力なファイル管理アプリケーションと謳っており、ファイル管理アプリ、スマホ内の不要な写真やファイルを削除するという触れ込みになっていたアプリです。調査した当時、Google Playで「ツール」のカテゴリで第2位にランキングされており、人気の高いアプリとなっていました。しかしながら、実際に利用してみると、期待通りの動作はしません。評価とレビューを見てみると、“次の他の掃除用アプリの広告が表示される”などの書き込みに加え、“大事なファイルがすべて削除されてしまった”などの被害報告の書込みが多数ありました。そして、このアプリは、驚くことに、調査開始してから数週間後には、Google Playでは存在しないアプリとなっていました。想像するに、Googleにクレームが多数あがり、削除されたものと推測されます。
図 2 あぶないアプリ例
さらに、これらあぶないアプリは、期待通りの動作をしないだけでなく、不正に個人情報を取得している場合もあると推測されます。
ポップアップ詐欺からあぶないアプリをインストールしないためには?
表示されたポップアップから“ポップアップ詐欺”か否かを判断するのはほぼ不可能です。なぜならば、ポップアップ広告の多くは、正規な広告であり、基本的には問題ないものだからです。しかしたまに、正規な広告と見せかけて、そのリンク先が不正なリンク先の場合もあるのです。したがって、ポップアップ詐欺に騙されなくするためには、万が一、不正なリンク先に遷移した場合でも一度そこで立ち止まり、内容を精査したり周囲に相談したりするなど騙されない知識を身に着け、あぶないアプリをインストールいないようにすることが重要となります。
〇あぶないアプリの確認方法
1.ランキングは信用しない
ランキングが上位でも、危険なアプリは存在します。したがって、ランキングが上位だからと言って信用しないことが重要となります。
2.批評的な評価に注目する
“あぶないアプリ”により被害を被った利用者が、レビューに経験を書き込んでいる場合が多々ありますので、これら評価を確認するのも一手段となります。
3.アプリ提供元を確認する
アプリマーケットから、アプリ提供者のプライバシーポリシーを確認することが出来ます。プライバシーポリシーに、企業名が載っていない、記載されている企業名がよく判らない(企業の国籍が判らない)、プライバシーポリシーが日本語でないなどの場合は、疑ってかかった方が安全です。
図 3 あぶないアプリの確認方法(インストール前)
なお、ポップアップ詐欺で宣伝してくるファイル管理のアプリについては、Files by GoogleやMicrosoft One Drive、Dropboxなどメジャーな製品も多数あります。必要なツールがある場合は、ネット検索をするなどして自分で見つけ、適切なアプリをインストールするのがお勧めです。
“あぶないアプリをインストール”してしまった場合は?
注意はしていても、“あぶないアプリ”と気づかずにインストールしてしまうことはあります。したがって、アプリ利用時に“あぶないアプリ”と気づけることも重要となります。
4.類似広告が表示される
利用しているアプリと類似なアプリの広告(同じような機能のアプリを薦める広告)が表示された場合は、高確率で“あぶないアプリ”になります。
5.利用するための料金を求めてくる
(基本無料などと宣伝していながら、)使い始めると、ほとんどの機能が利用できず、利用には料金を求めてくるアプリは疑った方がよいです。特に、月額自動更新の課金を請求するアプリは特に疑わしいです。
6.不要な機能の許諾を求めてくる
本来必要のない機能の利用許諾を求めてくるアプリも怪しいと思ってよいです。
7.必要以上に広告が表示される
アプリが利用できなくなる広告が何度も表示される時は、アフェリエイト(成果報酬型広告)で利益を上げようとしており、もし本来の機能が使えたとしても適切なアプリとは言えません。
図 4あぶないアプリの確認方法(インストール後)
このようなアプリをインストールしてしまった場合
あぶないアプリをインストールしたかもしれないと思ったら、マルウェアに感染した場合と同様に、速やかにアプリのアンインストールを行いましょう。そのアプリに個人情報を入れてしまった場合は、入力した個人情報に紐づくサービスが悪用されていないか確認をすることも必要となります。
まとめ
不正なポップアップ広告が掲載されるのは、サービス提供側の審査が十分でないのも原因の一つなります。したがって、サービス提供側での、厳格な審査が期待されます。
詐欺を行う人は、利用者心理を突いて攻撃するのが大半です。そこで重要となる心構えは、“世の中そんなに都合のよい話はそうそう無い”ということとなります。自分が普段から利用しているサービスにおいて、そのサービスの宣伝であれば別ですが、突然表示されるお得な情報は、まずは疑ってみるのも重要かと思います。
スマホ利用者やインターネット利用者を狙った詐欺行為は年々増加しているのが実態です。したがって、日ごろから、ネットで使われる犯罪手口の知識を身に着け備えることを心掛けましょう。