スマホの情報が抜き取られるかも！？偽アプリの見分け方とアプリのインストール前後で気をつけるべきこと

サイバー犯罪者はさまざまな手口でスマホ利用者をだまし、不正アプリをインストールさせようとしています。本物のアプリを装う偽アプリの見分け方と、スマホにアプリをインストールする前後で特に注意すべき点を紹介します。

不正アプリはどうやって侵入してくるの？

不正アプリは、スマホ利用者にとっていまや無視できない脅威の1つです。不正アプリは、端末内に入り込んで利用者の望まない不正行為を働くアプリ全般を指します。

不正アプリはどのようにしてスマホに入ってくるのでしょうか。ネットに潜むサイバー犯罪者は、あの手この手でスマホ利用者をだまして、不正アプリをインストールさせようとします。スマホに不正アプリが入り込む原因のほとんどは、実はスマホ利用者がそれと知らずに自らインストールしてしまうことなのです。実例をもとにいくつかの手口を見てみましょう。

手口1－ネット上での投稿や広告で誘導

メールやSNSの投稿、Web広告からアプリの配布サイトへ誘い込み、画像の表示や動画の再生、システムアップデートに必要なアプリなどと称して不正アプリをインストールさせる手口が確認されています。端末上に「システムエラー」「ウイルス感染」などの偽の警告メッセージを表示し、スマホ利用者の動揺を誘う手口もあります。そこでシステムアップデートやウイルス除去に必要なアプリなどとそそのかし、不正アプリをインストールさせるのです。

手口2－ショートメッセージを使って誘導

配送業者による不在通知を装うSMS（ショートメッセージサービス）経由でスマホ利用者を不正アプリの配布サイトへ誘導する手口も確認されています。実際、SMS内のURLを開くと配送業者の正規サイトそっくりの偽サイトが表示されます。もし、Android端末で「貨物追跡」や「再配達のご依頼」などのリンクを開いてしまうと、アプリのダウンロードが開始され、端末にインストールするよう指示されます。

手口3－人気や話題性に便乗して誘導

人気ゲームアプリなどに見せかけた偽アプリを配布する手口もあります。偽アプリは、正規アプリと同じタイトル名やアイコン、説明文などを使って本物を装っています。人気や話題性ばかりに気をとられ、不用意にアプリを入れる習慣がついてしまうと、いつの間にか不正アプリの侵入を許してしまうかもしれません。

不正アプリを近づけないための3つの前提条件

不正アプリの侵入を防ぐための前提として、スマホ利用者が実践しなくてはならないのは次の3つのポイントです。

公式のアプリストアを利用する

アプリ公開前に安全性の審査が行われるGoogle PlayやAppleのApp Store、携帯電話会社などが運営する公式のアプリストアからアプリを入手しましょう。Webサイト閲覧時に、全くその気はないのに突然アプリのインストールを促された場合は要注意です。メールやSNS内のURLリンク、Web広告などからおいしい謳い文句で誘導されたアプリの配布サイトも信用してはいけません。

OSをアップデートする

Android OSやiOSでは以前、端末にインストール済みの正規アプリを不正アプリに置き換えられてしまう脆弱性が確認されました。OSの脆弱性を解消するアップデートの通知が届いたらできるだけ早く適用して、使っているスマホを常に最新の状態に維持しましょう。

99％の Android端末に影響する脆弱性 – トレンドマイクロ製品、既に対応
https://blog.trendmicro.co.jp/archives/7526

iPhone/iPadでのセキュリティリスク：「App Store」以外からのアプリインストール
https://blog.trendmicro.co.jp/archives/10497

セキュリティアプリを利用する

セキュリティアプリは、もし万が一怪しいリンクや広告をクリックしてしまったとしても、不正アプリの配布サイトなどへのアクセスを未然にブロックし、インストールするアプリの安全性も事前にチェックしてくれます。セキュリティアプリもインストールしたうえで、アップデートが促された際には適用して、常に最新の状態で利用しましょう。

ウイルスバスターモバイル　|　トレンドマイクロ
https://www.trendmicro.com/ja_jp/forHome/products/vbm.html

インストールする前に最低限確認すべき3つのこと

スマホにアプリを入れる際には、不正アプリかどうかを慎重に見極めた上でインストールするべきかどうかを判断しなければなりません。偽アプリを見分けるため、アプリをインストールする前に最低限チェックしたいポイントは以下の3つです。

ネットでアプリや開発元の評判を調べる

公式のアプリストアからアプリを入れる前に、GoogleやYahoo!などの著名な検索サイトでアプリ名や開発元を検索し、インストールしても安全なアプリなのかどうかを判断するための情報収集を行いましょう。出所がよくわからなかったり、悪い評判や噂がいくつもある場合はインストールを控えるべきです。

レビューの数やその内容をチェックする

アプリのダウンロードページにあるレビューの数やその内容を確認してください。一般にレビューの数が多く、利用者の評価も高いアプリは安全と考えられます。Google Playでは「すべてのレビュー」から、AppleのAppStoreでは評価とレビューの左にある「すべてを表示」からアプリの評判を確認できます。

アプリに許可する権限を確認する

Android端末では、アプリのインストール時にそのアプリが求める権限を一覧で表示してくれます。それらの項目を注意深く確認することで不正アプリを識別できることがあります。たとえば、シンプルな電卓アプリが、「連絡先データの読み取り」「現在地の読み取り」「SDカードのコンテンツの読み取り」など、アプリ本来の機能を実現するために不要と考えられる権限を求めている場合は不正アプリの疑いがあります。
※必要以上の権限を求めるアプリが必ずしも不正アプリとは限りません。

アプリをインストールした後の注意点

アプリをインストールした後に、スマホ利用者がセキュリティの観点で行うべきことはなんでしょうか。

アプリの自動更新を有効にする

AndroidやiOSといったスマホのOSに限らず、アプリにも端末を遠隔操作されたり、情報を漏えいさせたりしてしまう脆弱性が確認されています。アプリの脆弱性対策として有効なのは、アプリを常に最新の状態に保つことです。アプリの自動更新を有効にし、アプリの開発元から配信されるアップデートを忘れずに適用できるようにしましょう。

【Android端末の場合】

Androidアプリは原則、Google Play経由でアップデートが配信されます。「Playストア」アプリを起動し、左上のメニューアイコンを押して「設定」へ進みます。「アプリの自動更新」をタップし、「常に自動更新する（データ通信料が発生する場合があります）」、もしくは「Wi-Fiに接続しているときだけ自動更新する」を選択します。通信キャリアなどのデータ通信量を浪費しないよう、Wi-Fi接続時のみアプリを自動更新することをおすすめします。

【iPhoneの場合】

端末の「設定」から「iTunes StoreとApp Store」へ進みます。「自動ダウンロード」欄の「アップデート」をオンにします。通信キャリアなどのデータ通信量を節約したい場合は、Wi-Fi接続時のみアプリが自動更新されるよう「モバイルデータ通信」をオフにしておきましょう。

「Webにアクセスするたびに望まない広告が表示される」「見覚えのないアプリがインストールされている」「不明な発信履歴やSMSの送受信履歴がある」「端末内の文書や写真を読み込めなくなる」などの症状が見られる場合、スマホに不正アプリが入り込んでしまっているかもしれません。そんなときの対処法も押さえておきましょう。