独立行政法人 情報処理推進機構 (IPA) は、2013年5月1日に「スマホにおける新たなワンクリック請求の手口に気をつけよう!」と呼びかけて、新しいワンクリック詐欺の手法について解説している。
以下、これをまとめて紹介してみる。
■ Android 端末における新しい詐欺アプリの手法
以下、内容をまとめると・・・
・Android 端末の公式マーケット「Google Play」にて(公式といえども安全ではない)、ワンクリック請求アプリの「インストール」を(そうとは知らずに)選択する。
・通常のアプリと同様、インストールの途中に「アクセス権限(パーミッション)」の許可を求められる。
従来の手口では、「電話番号」や「位置情報」など多くのアクセス権限が要求されていたので、ここで不審に思って中断するが、新型では「ネットワーク通信」程度しか求められない → そこで不正なアプリだと気づかずインストールを完了してしまう。
・インストールした当該アプリを起動すると、不当請求サイトに接続されて「登録されました」という内容と金銭を支払うよう表示される。(ようするにアプリとは単なる「ショートカット」なわけですw)
・実際に個人情報が送信されたわけではないが、不安に思い、不当請求に応じざるを得なくなる。
(参考:情報処理推進機構:情報セキュリティ:2013年5月の呼びかけ)
http://www.ipa.go.jp/security/txt/2013/05outline.html
Androidアプリについては、インストール時に不要なパーミッションが求められていないか確認する、というセキュリティ上の心がけがよく言われています。しかし、今回のケースでは「ネットワーク通信」のパーミッションしか求められないため、事前の判断は難しいと言えます。
「Google Play」上で複数のAndroid向けワンクリック詐欺アプリ(ワンクリウェア)の公開を確認 | トレンドマイクロ セキュリティ ブログ
アプリのインストール時に要求される「アクセス権限」の項目を減らしているため、ユーザーはそれほど警戒せずにインストールしてしまう、とのこと。
このようなアプリは、サイトを表示させるだけの機能であり、インストールしても端末情報が抜き取られるような被害はありません。
情報処理推進機構:情報セキュリティ:2013年5月の呼びかけ
■ Android 端末の対処法 ■
インストール時に「アクセス権限の許可」をしていないのであれば、個人情報は送信されていないはずw
落ち着いて端末を再起動してから、当該アプリをアンインストール(削除)しましょうw
料金を支払う必要があるのか心配な場合は、最寄りの消費生活センターや、自治体の無料弁護士相談などへ相談してください。
情報処理推進機構:情報セキュリティ:2013年5月の呼びかけ
しつこく金銭を請求された場合は、最寄の警察へ連絡することも。(同サイトより)
基本的な機能はワンクリック詐欺サイトの表示のみとなっているため、不正アプリとの判断や検出が難しいとのこと。(同サイトより)
表示された先のサイトの調査を行わないと、不正なアプリなのか判断できないという手間が・・・
■ iPhone / iPad など アップル製品の場合
以下、内容をまとめると・・・
・アプリは使用せず(この点が Android と異なる)、メールやインターネット検索からワンクリック請求サイトに誘導する。間違ってアクセスしてしまうと、「登録されました」という内容と金銭を支払うよう表示される。
・iPhone や iPad のブラウザ(通常は Safari )は、一度表示したサイトをキャッシュ(一度読み込んだサイトを再表示するため、端末が自動的に保存するデータ)として保持しているため、端末を再起動しても再び同じページを読み込んでしまい、何度も同じ不当請求サイトが表示されるようになる。
(参考:情報処理推進機構:情報セキュリティ:2013年5月の呼びかけ)
http://www.ipa.go.jp/security/txt/2013/05outline.html
iPhoneやiPadではキャッシュが残っているだけで、対処方法はシンプルです。
情報処理推進機構:情報セキュリティ:2013年5月の呼びかけ
■ iPhone や iPad の対処法 ■
ブラウザのタブ一覧から、終了させたい不当請求サイトのタブを選んで「×ボタン」で終了させます。
そして、ブラウザのアクセス履歴や Cookie などのデータを削除しましょうw
これは、Android アプリが Google Play 以外でも配布できるのに対して、iOS アプリは App Store 以外では配布できないことが原因。(同サイトより)
ワンクリック詐欺は10年以上存在する日本に特有の手法で、これを用いるサイバー犯罪者は現在モバイル分野の開拓に熱心に取り組んでいるという。
Google Playで80以上のワンクリック詐欺アプリが存在、マカフィーが警告 | 携帯 | マイナビニュース
いずれにせよ、出所の信用できないアプリは不用意にインストールしないことでしょうか…(´・ω・`)
■ まとめ作成において参考にした主なサイト
・情報処理推進機構:情報セキュリティ:2013年5月の呼びかけ
http://www.ipa.go.jp/security/txt/2013/05outline.html
・あわてないで!! クリックしただけで、いきなり料金請求する手口(発表情報)_国民生活センター
http://www.kokusen.go.jp/news/click.html
・巧妙化するスマホ狙いのワンクリック詐欺、OS別の対処方法 – ITmedia エンタープライズ
http://www.itmedia.co.jp/enterprise/articles/1305/01/news082.html
・新たな手口の「ワンクリック詐欺アプリ」が出現……IPAが解説 | RBB TODAY
http://www.rbbtoday.com/article/2013/05/02/107335.html
・「Google Play」上で複数のAndroid向けワンクリック詐欺アプリ(ワンクリウェア)の公開を確認 | トレンドマイクロ セキュリティ ブログ (ウイルス解析担当者による Trend Micro Security Blog)
http://blog.trendmicro.co.jp/archives/6984
・モバイルOS、脆弱性の報告が多いのはiOS、マルウェアが多いのはAndroid -INTERNET Watch
http://internet.watch.impress.co.jp/docs/news/20130424_597383.html
従来の手口では、非公式サイトから不正なアプリをインストールさせて個人情報を外部に送信していたが、
新しい手口では、公式サイトから単に不正なサイトへ接続するだけの“ショートカット”をインストールさせる方法が使われるようです。