新聞各社がすでに報じているように、警視庁は先日、悪質な Android アプリを使ってアダルト系の動画コンテンツの架空料金を請求した詐欺の疑いで、6 人を逮捕しました。この詐欺行為の詳細については、1 月にブログ記事で取り上げています。捜査当局によると、このグループは合計 9,252 人のユーザーを騙して、「NEW」という Web サイトでホストされているアプリをインストールさせました。そのうち 211 人が実際の被害に遭い、振り込まれた総額は 2,100 万円に上ります。またこのグループは、個人の身元を特定できる情報(PII)も携帯電話から盗み出し、サーバーに送信していました。シマンテックは、このアプリを Android.Oneclickfraud として検出します。スマートフォンのアプリに関連して逮捕者が出たのはこれが初めてのケースです。シマンテックもこの知らせを歓迎しており、容疑者が逮捕されたことに安心しています。
シマンテックは、コンピュータとスマートフォンのどちらを狙うワンクリック詐欺についても、注意深く監視を続けています。コンピュータユーザーを狙うサイトは無数に存在しますが、スマートフォン向けに設計されたサイトは、今のところまだほんの少ししかありません。そのなかで少なくとも 2 つのサイトが、今回の逮捕者の運営するサイトと関連していることがわかっており、本稿の執筆時点でもまだ稼働しています。サイト A は 2 月、サイト B は 5 月から稼働を開始しています。サイト「NEW」は 12 月末に開設され、1 月の終わりに詐欺が停止するまで 1 カ月ほどしか続きませんでした。
図 1. サイト A(左)とサイト B(右)
これらのサイトは、同じ Web アプリケーションをホストし、ほぼ同一の悪質な Android アプリを配信していたという点で関連性があります。同じソースコードを共有していますが、それぞれでカスタマイズされています。以下に挙げるのは、両方のサーバーに保存されていた同一のバックアップファイルからの抜粋です。コードの一番下にあるメールアドレスに注目してください。これは、1 月に発見されたアプリで使われていたものと同じアドレスです。
図 2. 両方のサイトに保存されているテンプレートのスクリーンショット
これらは、3 つのサイトを結ぶ、ひと握りのコードとファイルの例にすぎません。これ以外にもさまざまな形で関連性があると考えて間違いないでしょう。
これらの Web サイトのセキュリティは甘かったおかげで、サイトを比較して関連性を見出すことができましたが、被害者のものと思われる個人情報が誰にでも見える形で放置されているなど、犯人グループ自身も不用心です。実際、開発者自身も自分のデータの保護には無頓着だった節があります。なにしろ、自身や仲間についての詳しい情報が、アカウント情報などの重要なデータとともに、Web アプリケーションで使われるスクリプトに書き込まれていたくらいです。信じがたいことですが、コード中には開発者の Facebook アカウントにつながる情報まで含まれていました。
今回逮捕された容疑者の 1 人は Hiroki Koyama という名前でしたが、私はサイト上のファイルですでにその名前を知っていたので、特に驚きはありませんでした。むしろ、逮捕後も 2 つの姉妹サイトが稼働していることのほうが驚きです。私は当初、悪質な行為に利用していたドメインが停止されるたびにドメインからドメインへと渡り歩く同じグループの犯行と考えていました。まさか複数のグループが関与しているとは思いもしなかったのです。以下の画像を見ると、逮捕があった当日の 6 月 13 日以降に最終更新されているファイルがあることから、何者かがまだサイトを管理していることがわかります。
図 3. サイト A(左)とサイト B(右)で見つかったファイルの最終更新日
では、今これらを運営しているのは誰なのでしょうか。それはまだ不明ですが、逮捕以前と比べて現在のサイトがどのくらいの影響力を秘めているか、それをうかがい知ることのできる統計があります。このデータの信憑性ははっきりしないものの、サイトから収集した情報によれば、登録の総数はそれぞれおよそ 48,000 件と 8,000 件です。これはインストール件数だけでなく、Android 以外のスマートフォンやコンピュータのユーザーがリンクをクリックしたときに処理された登録数も含まれています。インストール件数も登録数も多いように見えますが、入手したデータを分析した結果、登録ユーザーを支払いまで誘導できた成功率はさほど高くないようです。あるデータから、実際に個人情報を盗まれたユーザーの数は数千単位にとどまると思われます(影響を受けた数万のユーザーに対して)。ただし、この詐欺では登録で請求される金額がかなり高いため、犯人グループにとっては、料金を支払う被害者の数はそれほど多くなくてもかまいません。この詐欺で請求される金額は、登録後 3 日以内に支払ったとしても 99,800 円です。さらに期日が過ぎると、料金は 300,000 円にまで跳ね上がります。支払いには、銀行振り込みが指定されています。
図 4. 1 日当たりの登録数
このように、Android.Oneclickfraud を操るグループが逮捕されたことで、姉妹サイトがまもなく閉鎖され、他にも何人かの逮捕者が出ることを期待していますが、この記事の執筆時点では、まだその気配はありません。
シマンテックのセーフウェブテクノロジは、これらのアプリをホストしているサイトを遮断します。モバイルデバイスにセキュリティアプリをまだインストールしていない場合には、ノートン モバイルセキュリティなどのアプリを今すぐインストールすることもお勧めします。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。