不正アプリ(スマホウイルス)は、スマホの代表的な脅威の1つです。最近は、メールやSNSの投稿、大手企業をかたった偽装SMSなどから誘導される不正なWebサイト上だけでなく、公式アプリストアでも不正アプリが確認されています。アプリを入手する前に確認しておきたい4つのポイントを紹介します。
提供元不明のWebサイトからアプリを入手するのは危険
不正アプリとは、スマホやタブレット端末内に入り込んで不正行為を働くアプリの総称です。万一、不正アプリをインストールしてしまうと、端末の不正操作や端末内の情報窃取に遭ったり、不正サイトへ誘導する広告をしつこく表示されたりするなど、さまざまな脅威にさらされる可能性があります。
サイバー犯罪者は、主に非公式のWebサイト(非公式ストア)で不正アプリを配布しています。たとえば、正規サイトを閲覧しているユーザに「システムエラー」「ウイルス感染」などの偽の警告画面を表示し、リンクを開かせることで不正なWebサイトへ誘導します。そこでシステムアップデートやウイルス除去に必要なファイルなどと称して不正アプリをインストールさせます。また、偽装SMS(ショートメッセージサービス)経由で実在する配送業者や通信事業者の偽サイトへ誘導し、不正アプリをインストールさせる手口もあります。さらに、ネット上にはゲームアプリやカメラアプリなどの人気アプリを装う偽アプリも複数公開されており、提供元が不明なWebサイトからアプリをインストールする際には注意が必要です。
公式ストアでも不正アプリに注意が必要
不正アプリの基本的な回避策の1つは、「Google PlayやApp Store、通信事業者などが運営している公式のアプリストアからアプリを入手すること」です。しかし、公式ストアにも不正アプリが紛れ込んでいる場合があります。
公式のアプリストアでは運営元による安全性の審査を通過したアプリだけが公開され、審査基準に満たないアプリは排除されます。しかし、中には審査をすり抜けた不正アプリが公式のアプリストアに公開されてしまうケースもあります。
実際、トレンドマイクロは、Android端末向けのボイスメッセンジャーやカメラ、ゲームなどのアプリに偽装した不正アプリがGoogle Play上に複数公開されていたことを確認しました。これらは、端末内の情報を窃取したり、偽の広告などをポップアップで表示し、フィッシングサイトやポルノアプリの配布サイトへ誘導したりするものでした。
図:Google Playにアップロードされた偽音声アプリの例
図:Google Playで確認された不正なカメラアプリ
図:ゲームアプリに偽装した不正アプリ「Flappy Birr Dog」
AppStoreでも家計簿アプリに偽装したiOS端末向けの不正アプリが確認されました。これはiOS端末利用者をAppStore以外の非公式のアプリストアへ誘導し、そこで別の不正アプリをインストールさせることを目的としていました。誘導先では、iOSの制限を解除し、非公式のアプリストアの利用を可能にする「Jailbreak(脱獄)」アプリが配布されていたこともわかっています。
AppStore上にある特定のアプリの広告を表示する不正アプリも確認されています。これは、Appleの正規の広告サービスを利用することなく自社のアプリを宣伝したいと考える開発元から報酬を得ることが目的でした。
図:App Storeで配布されていた不正アプリ
(注:正規アプリ「こつこつ家計簿-無料で簡単人気のカレンダー家計簿」とは別のものです。)
不正アプリを回避するために確認するべき4つのポイント
こうした不正アプリのリスクを避けるため、非公式のWebサイトからアプリをインストールせず、必ず公式のアプリストアを利用してください。そして、たとえ公式のアプリストアに公開されているアプリでも無条件に信用せず、スマホにアプリをインストールする際は4つのポイントを確認しましょう。
1.ネットでアプリや開発元の評判を確認する
公式のアプリストアからアプリを入れる前に、アプリ名や開発元を検索し、不正アプリかどうかを判断するための情報を収集しましょう。企業の公式アプリにもかかわらず、開発元が個人名になっている場合の正当性の判断には慎重さが求められます。
また、アップデートが長期間されていないアプリは、不正アプリではなくても、不具合や脆弱性(セキュリティの穴)が残されたままになっているかもしれません。入手する前に類似アプリと比較検討し、信用できるアプリを選択しましょう。
2.レビューの数やその内容を確認する
アプリのダウンロードページからレビューの数やその内容を確認しましょう。「起動しない」などの悪評が多いアプリや、評価が不自然に二分しているアプリの入手には慎重になるべきです。口コミが全く見当たらないアプリは、配布されて間もない不正アプリかもしれません。複数のWebサイトから情報を収集して比較し、真偽を判断するなどし、すぐに必要ではない場合はしばらく様子をみてから入手するようにしましょう。
3.アプリに許可する権限を確認する
Android端末では、アプリのインストール時にそのアプリが必要とする権限を一覧で表示してくれます。それらの項目を注意深く確認することで不正アプリを識別できることもあります。たとえば、シンプルな電卓アプリが、「連絡先データの読み取り」「現在地の読み取り」など、アプリ本来の機能や目的から外れるような権限を求めている場合は不正アプリの疑いがあります。
iPhoneの場合は、アプリをインストールした後に、設定画面から該当のアプリを選択するとアクセス権限の設定を確認、変更することができます。設定画面の「プライバシー」へ進めば、アプリごとに「位置情報サービス」や「連絡先」などへアクセスする権限を付与するか否かを選択できます。
また、不正アプリではなくても、必要以上に権限を求めるアプリは、過度に利用者情報を収集している場合があります。プライバシーポリシーなどを参照し、本当にそのアプリが必要かどうかよく考えてから入手しましょう。
4.セキュリティアプリをインストールしておく
万一、不正アプリのインストールボタンをクリックしてしまったとしても、セキュリティアプリがそのアプリをスキャンし、不正なものと判断した場合インストールをブロックしてくれます*。さまざまなアプリをインストールする前に、必ずセキュリティアプリを入れておきましょう。
*:アプリのスキャンはAndroidのみ可能
「スマホのOSやアプリを常に最新のバージョンに保つこと」「セキュリティアプリを最新の状態にして使うこと」は、不正アプリを回避するための前提条件です。これにより、不正サイトへのアクセスや不正アプリのインストールを未然に防ぐことができます。スマホに自ら不正アプリをインストールしてしまわないように用心しましょう。
【会社支給のスマートフォン】一括で実施できるセキュリティ対策とは
個人で行うことのできるスマートフォンのセキュリティ対策についてご紹介いたしましたが、いかがでしたでしょうか。「スマートフォンのセキュリティ対策を従業員任せにするのではなく、会社で管理したい」という課題を持つ管理者様もおられるかと思います。
PC・スマートフォンのセキュリティ対策として、日本事務器はウイルスバスタービジネスセキュリティサービス あんしんプラスを提供しております。
ウイルスバスタービジネスセキュリティサービス あんしんプラス おすすめポイント
・クラウドサービスだからPCもスマホも負担をかけずに管理
・日々の運用管理や、感染した場合に緊急対応を行えるサポートプランをご用意
・30日間の無料体験でウイルスバスタービジネスセキュリティサービスの効果を体験
スマートフォンのセキュリティ対策についてお悩みのことがございましたら、こちらのバナーからぜひ詳細をご覧ください。
