Android不正アプリの脅迫表示

写真拡大

 スマートフォン(スマホ)のカメラで顔写真を撮影して、金を払えと脅してくるAndroid不正アプリがみつかっている。スマホを起動できなくする「ランサムウェア=身代金要求ソフト」によるものだ。アダルトサイトなどを見たとしてスマホのインカメラ(内側のカメラ)で勝手に顔写真を撮影し、金を払えと脅すランサムウェアだ。

 冒頭の写真がその脅迫表示で、「犯罪者情報」として被害者の顔写真を表示している(モザイク処理済)。スマホが起動できなくなった上に、あなたの顔写真付きでこんな画面が出たらビックリするだろう。その上で同写真のように、iTunesカードを購入して番号を送るようにと脅してくる。

 ランサムウェアは2015年から日本でも被害が出ており、今年に入ってパソコン向けのランサムウェアの被害が増えている。これはファイルを暗号化して読めなくし「元に戻すには金を払え」と脅してくるが、スマホ向けでは端末そのものを起動できなくするタイプが主流だ。今回のランサムウェアでは起動できなくした上で日本語で脅迫文を表示する。

 この不正アプリを解析したのは、ノートンでおなじみのシマンテックの主任研究員・浜田譲治氏。浜田氏によると「スマホ向けアダルトサイトや広告などから入り込むもの。日本語で脅してくるモバイルランサムウェアはこれが初めてだろう」としている。詳しい手口は「Android を狙ってヨーロッパで広く拡散しているランサムウェアが日本に上陸:シマンテック公式ブログ」にまとめられている。

 浜田氏によれば、顔写真は不正アプリが入った直後に勝手に撮影するようだ。

「調査している最中に、うっかり私の写真も撮影されてしまいました(笑)。撮影のタイミングはハッキリしないのですが、不正アプリを入れた直後に撮影しているようです。私がテストしたものは処理が甘いようで、右90度に回転した写真が表示されました。しかし顔写真付きで脅迫文章が出るため、ビックリして騙される人がいるかもしれません」(浜田氏)

●感染の手口・特徴

 この不正アプリはさらに巧妙なことに、インストール直後は何もせず、30分かそれ以上経ってから動き始める。今インストールしたのが不正なアプリであるとユーザーに疑わせないためだ。動作を始めると日本語で「注意!お使いのデバイスがロックされている、その理由を以下に示します」としてカウントダウンの表示になる。カウントダウンが終わるまでに金を払えとする脅迫だ。

 シマンテックではこのランサムウェアを「Android.Lockdroid」と命名している。以下に感染の手口・特徴をまとめておこう。

(1)感染手口はポップアップ表示などで騙して「システムアップデート」と称して実行させる

 感染ルートとしては、アダルトサイト・アダルト広告などから誘導されるパターンが多い。「動画アプリに偽装してインストールさせる」「システムアップデートとしてインストールさせる」などの手口がある。浜田氏によれば「3月11日前後に出回ったものはシステムアップデートと称するものが多かった」とのこと。ポップアップで「アップデートしろ」と表示してインストールさせるパターンが確認されている。

(2)インカメラによる顔写真撮影は英語圏では常套手段

 浜田氏は「モバイルランサムウェアでは、スマホの内蔵カメラで顔写真を撮影するのは常套手段。日本語化されたのは初めてだが、今後は日本でも顔写真撮影するものが増えるかもしれない」としている。

(3)起動できなくなるのは「デバイス管理者機能」を有効にさせるため

 この不正アプリはインストール時に、Androidの「デバイス管理者機能」を要求してくる。安易にOKを押してしまうと、不正アプリが端末のシステムを変更できるようになり、その結果としてアプリの削除が難しくなる。浜田氏によれば「私がテストした『システムアップデート』と称するアプリは削除できましたが、最近の不正アプリでは管理者権限により削除できないものもあります。感染してしまうと初期化するしかない不正アプリもあるのです」とのことだ。

(4)英語ベースのランサムウェアを日本語化したもの

 元のランサムウェアは英語だが、感染した端末の言語設定を読み取って日本語の脅迫文章を出してくる。日本語のバージョンでは日本の国旗・警察章のマークなどを表示する。言語が対応しない場合は、インターポールを名乗るとのことだ。

(5)iTunesカードで1万円を要求

 端末の地域によって要求する金額の単位を変更する。日本語バージョンでは1万円分のiTunesカード、英語では100米ドルまたは100ユーロ。日本語では「iTunesとデバイスのブロックを解除するために1万円を支払ってください」と表示される。

 このようにスマホ向けランサムウェアは、「顔写真を撮影して脅す」「起動できなくする」「場合によっては管理者権限をとって削除も難しくする」など、悪質で巧妙な手口をしかけてくる。

●悪質・巧妙化するAndroid不正アプリとその対策

 浜田氏は次のように解説する。

「数年前のスマホ不正アプリは、電話帳を盗みとる・端末の個人情報を読みとるなどの単純な手口が主流でした。しかし、最近では管理者権限によって削除できないなど、巧妙かつ悪質な不正アプリが増えています。英語圏で流行している不正アプリが日本にも上陸しており、今後さらに被害が増える可能性があります」

 筆者が考えるに、この手口では日本で大きな被害が出る可能性がある。というのは日本で多いワンクリック詐欺・架空請求にピッタリの手口だからだ。日本のアダルト詐欺サイトでこのランサムウェアをインストールさせて起動できなくし、「元に戻すには金を払え」と脅すパターンが出現するかもしれない。ワンクリック詐欺・架空請求詐欺の被害が多い日本では、かなり深刻なものになると想像できる。

 今のところ被害はAndroidに限られているが、念のためにiPhoneユーザーも警戒したほうがよい。以下にモバイルランサムウェアの対策をまとめておく。

【スマートフォン向けランサムウェアの対策】

(1)ポップアップで安易に「OK」を押さない

 ページ表示や広告でポップアップが出たら要注意。ポップアップ表示で不正アプリを入れるパターンが多いからだ。安易にOKを押さず、キャンセルしてから本当に必要なものかどうかチェックするクセをつけよう。

(2)アプリは公式サイト内で「自分で探して」導入する

 ウェブサイトやメッセージなどのリンクからアプリダウンロードページに飛ばされた場合に警戒する。不正アプリの可能性があるからだ。アプリを入れたい場合は、公式サイトのGoogle Play(iPhoneではApp Store)へ自分でアクセスし、Google Play内の検索で探して導入するようにする。アプリが要求してくる権限の内容を確かめて、わからないものがある場合はインストールしない。

(3)バックアップを定期的にとる

 悪質な不正アプリをインストールしてしまった場合、削除すらできずに初期化するしかない場合もある。万が一の場合に備えて、パソコンにバックアップをとろう。1カ月に一度など定期的にバックアップをとるのが望ましい。

(4)セキュリティ対策アプリを導入する

 できれば、不正アプリをブロックするためのセキュリティ対策アプリを導入する。特にスマホ初心者の人、中高生や高齢者などスマホに慣れていない人は、ぜひセキュリティ対策アプリを入れておきたい。

(5)万が一ランサムウェアの被害に遭ってしまった場合の処理

 脅迫の文章などをパソコンで検索し、どのランサムウェアにやられたのか・復旧できるのかを確かめる。削除できる場合はアプリを削除して再起動。アプリを削除できない場合は、初期化するか、身代金を払うかの二択になる(身代金を払っても復活できる保証はない)。

 昨年からパソコン向けのランサムウェアが流行しているが、今後はスマホ向けのランサムウェア被害が広がる可能性がある。スマホに慣れていない人が特に騙される可能性が高いので、家族にも対策を呼びかけてほしい。
(文=三上洋/ITジャーナリスト)