沿って, smartwatches 21/11/2022

スマホの偽警告(フェイクアラート)詐欺とは?カレンダーの悪用など最新事例と対策を解説|TIME&SPACE by KDDI

近年、手口の巧妙化が進むスマホ詐欺。コンピュータウイルスやセキュリティに関係する調査・情報提供を行っているIPA(独立行政法人 情報処理推進機構)が毎年発表している「情報セキュリティの10大脅威(個人向け脅威)」でも、スマホに関する詐欺が上位の大半を占めており、年々新たな手口のパターンが増えている。

© 2021 IPA 独立行政法人情報処理推進機構

今回はそのなかでも手口が巧妙で、詐欺と見分けのつきにくい「偽警告(フェイクアラート)詐欺」について、一般社団法人日本スマートフォンセキュリティ協会(JSSEC) の副会長・理事を務めるKDDI 本間輝彰 監修の元、実際の画面イメージとともに、事例や対策方法について紹介する。

偽警告(フェイクアラート)詐欺とは、Webサイトの閲覧中などに突然「ウイルスに感染しています」などニセモノの警告画面を表示して、マルウェア(有害な動作を行うソフトウェア)をインストールさせたり、個人情報を取得して悪用したりする詐欺のことだ。

近年では多種多様なフェイクアラートが存在しており、利用者の不安を突いたり、人の物欲を突いたり、標準アプリを装って被害に遭っていることに気づくことを困難にさせている詐欺が増えてきている。

では、どんなニセ表示で利用者を騙すのか。実際の画面イメージを見ながら、主な詐欺事例を見ていこう。

ひとつめが、アカウント追加詐欺だ。これはiPhone(iOS)のカレンダー共有機能を悪用した詐欺で、カレンダーの編集権限を攻撃者のアカウントと共有させることで、利用者のカレンダーに勝手に予定を書き加え、その身に覚えのない予定に書かれてあるURLから不正サイトなどに誘導する。

①利用者にカレンダーを共有させる(アカウントの権限を追加させる)②共有したカレンダーに攻撃者がどんどん予定を書き加えていく③利用者が予定の詳細を見ようとURLをクリックすると、不正サイトに誘導。予定を見なくても、カレンダーの通知機能を使い、ウイルス感染などを装ったポップアップをスマホに表示させ、セキュリティソフトをDLするためのURLを装って、不正サイトに誘導する。

このアカウント追加詐欺の怖いところが、最初の「カレンダーに攻撃者のアカウント権限を共有する」際、画面に表示される文章ではそのことが利用者にはわかりにくい点が挙げられる。下のキャプチャー画面を見てほしい。

アカウント追加詐欺の手口として、Web閲覧中に突然この通知を表示させるのだが、左図のような「このページを”カレンダー“で開きますか」という文章だけでは、自分のカレンダーに別のアカウントを共有しようとしているかどうか、わかる人は少ないだろう。

実際には次の「カレンダーの照会を追加」画面が別の人に共有するかどうかの確認画面になっており、ここで「OK」を選択してしまうと「“”(本件における攻撃者名)」にカレンダーの編集権限を与えてしまう。この例のように、攻撃者のアカウント名が「“”」と、一見してアカウント名だと見抜けない名前になっていることが多く、わかりにくさに拍車をかけている。

OK後に表示される次の画面の段階ではもう攻撃者のアカウントが登録完了してしまっているので、「イベント表示」と「完了」のどちらを選んでも、もしくは何も選ばず画面をクローズしても、すでに自分のカレンダーが攻撃者のカレンダーを共用した状態になっている

実際に「設定」から「カレンダー」の「アカウント」欄を見てみると、「照会したカレンダー」として攻撃者のアカウント「“”」が追加されているのが確認できる。もし登録してしまっても、ここで知らないアカウントの存在に気づけば、この設定画面から削除できるが、気づかないままだと、ずっと攻撃者のカレンダーを共有したままになる。

スマホの偽警告(フェイクアラート)詐欺とは?カレンダーの悪用など最新事例と対策を解説|TIME&SPACE by KDDI

今回この攻撃者「“”」が勝手に登録してきた予定がこの内容だ。

攻撃者に書き込まれたカレンダーの予定

このようにわかりやすく「自分で入れていないであろう予定」ということがわかれば良いが、食事の予定や打合せの予定など、自分が普段よく登録するスケジュールに沿った内容で入力されてしまうと、一見して見分ける術がない。また、今回のような内容でも、自分のスマホの画面にカレンダーの予定通知機能で見知らぬ警告がどんどん画面にポップアップされる状況は、ウイルスに感染したのかと不安になる人もいるだろう。

対策としては、Web サイト閲覧中に表示される心当たりのない通知はとにかく「OK」を押さないことに加え、もし「OK」してしまっても、見知らぬ予定がカレンダーに登録されている場合は、前述した設定のカレンダー項目からアカウントの欄を確認し、身に覚えのない共有アカウントを削除することを覚えておいてほしい。

ふたつめに紹介するのが、ブラウザアプリなどよくスマホにインストールされているアプリのニセアップデート通知を表示し、利用者を騙してマルウェアをインストールさせる「アップデート詐欺」だ。

この詐欺のやっかいなポイントは、インストールさせるアプリが見た目では正規のアプリかニセのアプリか見分けがつきにくいところにある。

事例を見てみよう。Webサイト閲覧中などに、突然下記のような通知が表示される。一見するとセキュリティーアラートが上がり、ブラウザアプリを最新バージョンにアップデートする通知に見えるが、実際にはこのアプリがニセモノというわけだ。

ニセモノのブラウザアプリによるインストール通知画面

しかもニセアプリのなかには、起動時にブラウザ機能として本来必要のない連絡先や電話、SMSやストレージへのアクセスに対する許諾を取ってくるものもある。一度権限を与えてしまうと、個人情報が抜かれるだけでなくbotなどにハッキングされてしまう危険性が出てくるというわけだ。

ニセアプリによる権限の許諾

このニセアプリはAndroidスマホのプリインストールアプリに偽装することが多い。見分け方としては、「アプリ一覧」で見ると同じ名前のアプリが2つ存在している状況で、それぞれの詳細を見ると、下図のように正規のアプリはプリインストールアプリなのでアンインストールできないが、ニセアプリのほうはアンインストールできるようになっている。

このように一見では見分けることができないことがこの詐欺の巧妙なところだが、対策としては、最初の画面のように見覚えのない文字列が並ぶアップデートに関する通知は安易に「OK」しないことに加え、もしインストールしてしまってもむやみに権限を与えないことを覚えておいてほしい。

特に電話やSMSの権限は、最近では金融系アプリやショッピングなど、お金に関わるサービスの二段階認証としても使われることが多いため、その重要度は高い。利用に必要ないアプリでは、絶対に許諾しないよう覚えておくとともに、クレジットカードの利用履歴や決済金額など、自分で常に確認する習慣を持つことが重要だ。

みっつめは、Webサイト閲覧中に「ウイルスに感染しました」などニセの警告を表示させ、主に有償の対策アプリのインストールを誘導する詐欺だ。警告内容はさまざまで、セキュリティ警告を表示するものや、ニセのサポートアプリのDLに誘導する攻撃など存在する。

ニセモノのウイルス感染アラートによる警告画面

この詐欺のやっかいなところが、DLさせるアプリ自体がApp StoreやGoogle Playなど、それぞれ正規の審査を経た公式マーケットに存在しているというところだ。しかも攻撃者の協力者が高い評価コメントを多数書き込み、アプリの評価を上げていることもあるため、一見しただけでは有効なウイルス対策やセキュリティアプリに見えなくもない。しかし実際は(何も効果がないのに)高額なアプリ代を請求されたりするというわけだ。

フェイクアラートから誘導されるマーケット内のアプリ例

対策法はいくつかある。まず、そもそもブラウザにはウイルス検知機能がないため、Webサイト閲覧中にブラウザによる警告自体出ることがない。このことから、Web閲覧中のウイルス警告は詐欺の可能性が高いと言える。もちろん、身に覚えのない通知や警告はクリックしないこと。また、アプリDLに誘導されたとしても、被害に遭った人からの忠告が書き込まれていることがあるため、★ではなく評価内容を見ることで気づけることもある。何より、安易に知らないセキュリティソフトをインストールしないことを心がけたい。

最後は、メール、SMS、Twitter、LINEなどで「懸賞に当選した」などとメッセージを表示し、商品を送るために個人情報を入力させたのち、賞品を送りつけてくると同時にその賞品の費用を請求してくる「懸賞詐欺」だ。

こちらは懸賞のほか、稼げるネタ教えますなど、さまざまな人の欲につけこんだ手口が存在する。

公式アカウントを装ったフェイクアカウント例

対策としては、安易な美味しい話に飛びつかないことはもちろんのこと、公式サイトに偽装しているケースは、アカウント表記やURLの「l(小文字のエル)」と「I(大文字のアイ)」や「0(数字のゼロ)」と「O(英語のオー)」など、見た目に似ている表記が間違っていないかよく確認するなど、ニセモノかどうかを見分けるクセをつけ、詐欺サイトからの通知にひっかからないよう注意してほしい。

今回はフェイクアラート詐欺について、主な事例を紹介したが、あらためて対策方法についてまとめておこう。

1. ブラウザにはウイルス検知機能がないので、Web閲覧中のウイルス警告は詐欺の可能性が高い。身に覚えのない通知や警告は開かない。2. よく知らないアプリはインストールしない。3. アプリに不要な権限を与えない。特に電話やSMS機能は、二段階認証にも関わるので必要なければ権限を与えない。4. カレンダーのように共有できるアプリに見知らぬ内容が登録されている場合は、知らない共有アカウントがないかチェックする。5. カードの利用履歴や決済金額など、クレジットカードや銀行口座の履歴は、常に確認する習慣を持つ。

手口が巧妙化し、セキュリティ意識の高い人でもひっかかることがあるスマホ詐欺。今回紹介した事例のように、スマホの標準アプリ機能を悪用したり、公式マーケットや公式アプリを装ったりする手口も増えているので、ウイルスソフトや迷惑メールブロックで防ぐことが難しくなっている。ここで挙げた詐欺の事例と対策を知ることで、詐欺被害に遭わないよう自衛してほしい。