「ポケモンGO」に偽アプリがあるらしい
2016年7月22日午前にアジア圏内では初めて日本で配信を開始したスマートフォンゲームアプリ「ポケモンGO」。
ニュースなどでも頻繁に取り上げられ話題騒然となっている。
当ブログでも先日の記事でもお伝えしたのでご存知のことだろう。
※先日お伝えした「ポケモンGO関連」の記事もご覧ください。
各種調査などで様々な場所に行っているエルも、以前とは違う異様な光景にも慣れてきたところだ。
街中ではスマートフォンの画面を凝視しながら歩く人々が増え、一定の場所に立ち止まりながら必死にスワイプしている。
都心部などで観られる光景としては、浮気調査での張り込み場所付近に多数の人が一定時間立ち止まり、スマートフォンをかざしながら必死にスワイプしては去っていくなど、パッと見では誰が「探偵調査員」で誰が「ポケモンGO」のユーザーなのか全く分からない状態だろう。
また、マクドナルド周辺やスカイツリー周辺などでは、スマートフォン凝視する人々でもっと混雑した状態となっているため、調査の張り込みがしやすくなったのか、張り込みがしづらくなったのかといえば、張り込みを行うロケーションによっても異なるので「50/50」と言える。
そんな状況の中、これから「ポケモンGO」を始めようとしているユーザーに新たな情報が・・・。
海外では「ポケモンGO」に、早くも「偽アプリ」が登場し始めたというのだ。
今回は、この「ポケモンGO偽アプリ」についてお伝えしていこうと思う。
「ポケモンGO」の偽アプリとは?
悪質な「ポケモンGO偽アプリ」の一部では、ひそかにスマートフォンの遠隔操作ツールを起動させ、個人情報を抜き取るものがあるらしいのだ。
大人気の「公式アプリ」とサイバー犯罪に利用される「類似した偽アプリ」などは切っても切れない関係とも言えるのだ。
「ポケモンGO」に興味を持つユーザーが、サイバー犯罪の新たなターゲットとなっているのは間違いないだろう。
インターネットセキュリティー会社でも、悪質な「ポケモンGO偽アプリ」をインストールするリスクを減らすため、非公式サイトからのダウンロードを控えるよう呼びかけているという。
マカフィーがマルウェアの発見を発表
セキュリティ対策ソフトを販売する「マカフィー(東京都渋谷区)」が2016年7月11日に「ポケモンGO」にそっくりのマルウェア(不正で有害な動作をするソフトウェア)が見つかったと公式ブログで発表している。
以下が、マカフィー公式ブログより引用した記事である。
野生の偽 “Pokémon GO” があらわれた!
Pokémon GOは、スマートフォンの位置情報やカメラ機能を使い、実世界とリンクした拡張現実の世界でポケモンを “ゲット” して遊ぶことができる、今とても注目を集めている新しいモバイルゲームです。このゲームは、7月6日にApple App StoreやGoogle Playストアといった公式マーケットから地域限定(オーストラリアやニュージーランド、1日遅れで米国)で公開されました。このアプリの開発者は、その他の地域でもすぐに遊べるようになるだろうとコメントしていますが、多くのポケモンファンは公式リリースまで待ちきれず、いち早くこのゲームで遊びたい一心で、セキュリティリスクがある非公式のサイトでこのゲームアプリを探し求めています。
このような状況を考慮すると、このゲームアプリを模倣したマルウェアが発見されるのも時間の問題でした。私たちインテル セキュリティのモバイルマルウェアリサーチチームは、このゲームアプリが地域限定で公開された翌日、正規アプリに悪意あるコードが仕込まれた偽の ”Pokémon GO” のマルウェアを発見しました。そのマルウェアのファイル名には、ファイル共有サイト ”apkmirror.com” で二次配布されていた正規アプリと類似した名称がつけられていたことから、別のサイト等で配布されていたものと推測しています。
このマルウェアを最新のAndroidデバイスにインストールするとき、公式アプリと同様に特別なアクセス権限は要求されません。
しかしながら、このマルウェアの起動時に、SMSメッセージの送信や閲覧といったゲームとは関係のないアクセス権限が要求されます。
これは実行時に権限を要求するランタイムパーミッションをサポートするAndroid 6.0以降の端末での動作であり、それより古い端末ではインストール時にアクセス権限が要求されます。ユーザーがインストール時または実行時にすべてのアクセス権限を許可することによってゲームを開始することができますが、このマルウェアの場合、ネットワーク状態の変化やデバイス起動時に、悪質なサービス “Controller” がバックグラウンドで動作するようになっています。
この悪質なサービスは、DroidJack (別名:SandroRAT) という遠隔操作ツールによって正規アプリに埋め込まれたものです。DroidJackは2014年頃から長期にわたり有償($210)で販売されていたツールで、特に目新しいものではありません。その利用規約には犯罪への加担や法律に違反することに対する使用を禁止する記載がありますが、2014年8月に発見されたポーランドの銀行ユーザを狙ったマルウェアではこのツールが悪用されていました。おそらく、この事件をきっかけとして、2015年10月にヨーロッパ諸国と米国の国際警察によって、このツールの使用者に対する家宅捜索や逮捕が行われましたが(英文記事)、私たちが今回発見したマルウェアで使われていたように、この遠隔操作ツールは今もなお悪用され続けているのです。
DroidJackは、感染した端末上であらゆるスパイ活動を行うことができます。具体的には、SMSメッセージ・通話履歴・電話帳・ブラウザ閲覧履歴・位置情報やインストールアプリの一覧といったユーザー情報を盗むことから、写真撮影・ビデオ録画・通話録音やSMS送信といった任意のコマンドをリモートから実行するといったことまでできるのです。このマルウェアの場合、トルコにあるサーバーと通信が行われており、アプリの起動情報が定期的に通知されていました。
さらに、デバイスのスリープ状態に関する端末情報もまた外部サーバーに通知されています。こういった情報は、たとえば、ユーザーに気づかれないようにブラウザで特定のリンクを開くために使われます。
人気アプリになりすましユーザを騙す行為は、マルウェアをインストールさせるための常套手段です。公式マーケットであっても100%安全と言い切れませんが、非公式なサイト(特にファイル共有サイト)と比較するとマルウェアへの感染リスクは非常に低くなります。仮に評判の良いサイトであったしても、このような理由から、あなたの地域で公式アプリが利用できるようになるまで、もうしばらく待つようにしてください。
※本ページの内容は McAfee Blog の抄訳です。
原文: Trojanized Pokémon GO Android App Found in the Wild
著者: Carlos Castillo
シマンテックも公式ブログで注意を呼びかけ
セキュリティ対策ソフト「ノートン」を販売する「シマンテック」も2016年7月14日、「ポケモンGO」に偽装させたマルウェアをインストールすると、端末のアクセス権を「完全に掌握」されてしまうと公式ブログで指摘している。
「マカフィー」や「シマンテック」より発表された「ポケモンGO」に偽装させたマルウェアは、インストール後に実行する際、SNSメッセージの送信や閲覧といったゲームに関係のないアクセス権限を要求するというのだ。
また、スマートフォンの環境によって、電話帳・通話履歴などから、SMSメッセージ・ブラウザ閲覧履歴・位置情報・インストールアプリの一覧といった個人情報を無断で抜き取ったり、遠隔操作で写真を撮影・ビデオ録画・通話録音まで可能な遠隔操作ツールが作動するかもしれないという。
「ポケモンGO」はスマートフォンのカメラ機能や位置情報を把握するGPS機能を利用しているため、「偽アプリ」インストール時に電話・カメラ・メール・GPSなどのスマートフォンに搭載された機能の承認要求などが出ても疑われづらいのではないだろうか。
非公式サイトからのダウンロードは危険
アプリになりすましてユーザーを騙すという行為は、「悪意のあるマルウェアをインストールさせるための常套手段」。
目的のアプリがリンクされている「非公式サイト」へアクセスしてダウンロードしたり、「ファイル共有サイト」などからダウンロードするという行為は、非常に危険が伴うと言っていいだろう。
SNSの書き込みからアクセスすること全てを否定する訳ではないのだが、Twitterなどを例にするとフォロワーなどから届いたツイートやリツイートなどでも、すぐにダウンロードぜず、評価などを閲覧しながら「本当に自分に必要なアプリなのかを考える」ということが必要だろう。
それをしないと気付かないうちに「偽装アプリ」をインストールしてしまうということにもなりかねないのだ。
今後、日本でも「ポケモンGO」人気は、ますます加速していきそうな勢いがある。
しかし、その裏側では同じくらいサイバー犯罪の標的にされているということを忘れてはならない。
