2011 年の夏、スマートフォンを狙ったワンクリック詐欺が発見されました。以降、現在ではワンクリック詐欺はすっかり広まっているため、スマートフォンを使って特定のキーワードをインターネット検索しただけでワンクリック詐欺サイトに引っかかってしまう確率は、かなり高くなっています。なかでも典型的なのが、ユーザーを欺いて有料サービスに登録させようとする単純な攻撃で、ページにはユーザーとそのスマートフォンについての詳しい情報が表示されます。これは、一定の金額が支払われなかった場合にサイトの所有者が法的な手段に訴えることもあるとユーザーに信じ込ませることを狙った脅迫の手法です。悪質なファイルの関与はありませんでした。詳しくは、このブログ記事を参照してください。
2012 年に入った現在では、スマートフォンを狙うワンクリック詐欺はさらに進化し、アプリケーションを利用するようになっています。詐欺にファイルを利用するのは Windows プラットフォームでは一般的で、何年間も使われ続けています。たとえば、ユーザーがコンピュータ上でビデオを再生しようとすると、HTML アプリケーションファイル(.hta)を実行するように要求され、実行するとデスクトップに何度もポップアップメッセージが表示されるというものがあります。
では、スマートフォンの場合には詐欺を実行するためにどのようにアプリケーションが使われているのか調べてみましょう。以下の図は、ワンクリック詐欺サイトの一例を示したページです。外見は、ビデオを再生できる、よくあるアダルト向け Web サイトのように見えます。
ビデオをクリックすると、18 歳以上かどうかの確認を求める認証ページが開きます。
次にダウンロードページが表示され、そこでダウンロードボタンをクリックすると、スマートフォンにアプリケーションがダウンロードされます。ページには、アプリケーションのインストール方法まで説明されています。
要求される許可は次の図のとおりですが、ビデオ再生のためのアプリケーションが電源投入時の自動起動やユーザーの所在地、アカウント検索まで要求するというのは普通ではありません。要求される許可の一部を見てみただけでも、これほど異例な許可が要求されているという時点で、警戒心を働かせるべきでしょう。
アプリケーションがインストールされると、頻繁にブラウザが開いて登録ページが表示され、お客様 ID、端末の電話番号、端末で使われているアドレスといったユーザー情報を示して支払いを行うようユーザーを誘導しようとします。これは、Windows コンピュータで使われている詐欺の手口とほぼ同一です。
この手の詐欺でユーザーの電話番号やメールアドレスが特定されてしまうというのは、スマートフォンユーザーにとって思いもしなかった展開でしょう。過去にはこのような手口は不可能でしたが、今後は、こうした個人情報がどれほど多くの形で詐欺に悪用されるか、わかったものではありません。
デバイスが感染した場合でも、このアプリケーションは[設定]の[アプリケーションの管理]からアンインストールすることが可能ですが、後追いで続く詐欺には用心してください。信頼のおける提供元以外は、非公式のアプリケーション(Android マーケットで配布されていないアプリケーションなど)はインストールしないようにするといいでしょう。セキュリティソフトウェアを利用することもお勧めします。シマンテック製品は、今回の悪質なアプリケーションを Android.Oneclickfraud として検出します。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。