アップルの指紋認証「Touch ID」を悪用、新手の詐欺アプリが問題に
アップルの指紋認証システム「Touch ID」は実に便利で、「iPhone」のロック解除や何かを購入するときの本人確認があっという間にできる。ただ、最近これを悪用した詐欺アプリの存在が確認されており、注意が必要だ。
不正アプリは複数あり、例えば消費カロリーの計算に必要だと偽ったり、心拍数を測定するといった理由で、Touch IDセンサーへのアクセス許可を求めてくる。
ところが、ホームボタンに指を置いて認証すると、アプリ内課金が承認されたという内容のポップアップが一瞬だけ表示される。金額は90〜120ドル(約10,000〜14,000円)程度で、ポップアップの文章を読みづらくするために、スクリーンを一時的に暗くするといったプログラムも組み込まれていることがある。
また一部のアプリでは、指紋認証を拒否してもそのまま設定を進めるよう促され、今度は別の種類のアプリ内課金詐欺に導こうとするという。
またたく間に終わる不正行為
アプリで不正もしくは法外な課金を行うのは、App Storeの利用規約違反だ。これまでに、「Heart Rate Monitor」「Fitness Balance app」「Calories Tracker app」など、一見ごく普通の名前のアプリがプラットフォームから削除された。
同じ開発元が複数のアプリをつくっているのか、それともアプリごとに開発者が違うのかは明らかになっていない。いずれにしても、共通しているのはマルウェアを仕組むのではなく、Touch IDを利用した認証詐欺というかたちをとる点だ。
サイバーセキュリティ会社ESETのスティーヴン・コブは、「ホームボタンに指を置くとすぐに指紋のスキャンが始まるため、またたく間に認証が終わります」と指摘する。ESETはブログでこれらの詐欺アプリの存在を紹介しているが、コブは「誰かがユーザーが求めないことを不正に強制するための巧みな方法を編み出したわけです」として、注意を呼びかけている。
Touch IDはかなり以前から、ロック解除以外の目的でも使われてきた。Apple Payでの支払いの承認のほか、さまざまなアプリがログインやアクセス許可などに指紋認証を採用している。
ユーザーの承認をスキップできてしまう
Touch IDは簡単で素早く、正確に機能する。裏を返せば、多くのユーザーはあまり考えることなく、求められればそのままセンサーの上に指を置いてしまうのだ。さらに、指紋さえ合えば、ほかには何もしなくても承認したことになってしまう。
コブはこれを、初期のQRコードと比較して説明する。以前は、QRコードを読み取ることで起こる何かを受け入れるかどうかを、ユーザーが事前に決定することはできなかった。
「これとまったく同じで、指紋を読み取らせるだけでさまざまなプログラムが実行されますが、そのプログラムを本当に実行していいのか確認するステップがありません。指紋のインプットが本人確認であるという性質上、ユーザーによる承認という段階をスキップすることができてしまうのです」
今回の詐欺アプリの被害者の数は不明だが、オンライン掲示板Redditへの投稿を見る限りでは、少なくとも何人かは実際に課金された人がいるようだ。また、この手法は再現性が高い点も問題視されている。
アプリ公開後に不正課金を追加
App Storeは審査が厳しいことで有名だが、それでも不正なアプリを潜り込ませることが不可能なわけではない。特に第一段階を突破してしまえば、あとは比較的スムーズにことが運ぶ。セキュリティソフト開発マルウェアバイツのジェローム・セグラは、以下のように話す。
「不正アプリはiOSでもAndroidでも大きな問題になっています。アップルのエコシステムはより閉鎖的なため、一般的にiOSのほうが間違いは少ないようですが、不正行為を行う者は審査をすり抜けるための巧妙な手段を考え出します。そして、どうにかしてプラットフォームでの公開までこぎ着ければ、あとはアップデートの際にアプリ内課金のシステムを導入して完了というわけです。たいていの不正は、このアプリ内課金の段階で行われています」
なお、当然ながら「iPhone X」以降のホームボタンが廃止されたモデルではTouch ID詐欺の心配はない。これらのモデルではサイドボタンをダブルクリックするとApple Payが起動し、顔認証システム「Face ID」による支払いが可能になる。
ただ、Touch IDを採用するモデルのユーザーはまだ多い。自分のiPhoneにホームボタンが付いている場合、とにかく注意を怠らず、Touch IDを使うのは本当に信頼できるアプリだけにしておくのが賢明だ。
利便性とのトレードオフ
一方で、アップルはApp Storeでの審査を厳しくすることに加え、Touch IDにもう一段階、追加の承認プロセスを設けることを検討してもいいかもしれない。ただ、どちらにしてもある程度は利便性が失われるため、今回の詐欺の被害が急拡大しない限りは、アップルが何らかの措置をとる可能性は低いだろう。
さらにFace IDが導入されたことで、Touch IDは徐々に消えていく運命にあるということも指摘しておきたい。『WIRED』US版はアップルにコメントを求めたが、回答は得られていない。
マルウェアバイツのセグラは、「いつものことですが、利便性と使い勝手のよさを実現してくれる新たなテクノロジーが、悩みの種となっているわけです」と言う。「指1本で支払いが終わるというのはとてもラクですが、その技術は同じくらい簡単に悪用することができてしまうのです」
