iOSユーザーを狙う「日本語」詐欺アプリ--シマンテック報告

　iOSユーザーを標的とした日本語のワンクリック詐欺について、シマンテックが6月4日に同社ブログで報告した。

　同社では5月31日に、日本語のワンクリック詐欺が悪質なAndroidアプリとして登場したことを発表していた。今回は、詐欺アプリの制作者がiOSバージョンを作成し、同様の詐欺サイトで配布していることを確認したとの内容だ。悪質なiOSアプリがワンクリック詐欺に利用された初のケースだという。

　同社では、詐欺アプリの制作者がこの攻撃に「iOS Developer Enterprise Program」を悪用したものとみているが、現時点でその確認はとれていないとしている。

　詐欺アプリを導入すると、ユーザーはサイトの会員登録に合意したとして、期限内であれば9万9000円（約800ドル）、3日を過ぎたら30万円（約2400ドル）を支払うように要求される。

　通常、iOSユーザーはApp Storeでアプリを入手するが、Over The Air（OTA）を利用して配布されたアプリを入手する方法もある。ひとつは「アドホックプロビジョニング」、もうひとつが「iOS Developer Enterprise Program」だ。

　アドホックプロビジョニングを利用してアプリを配布するには、アドホックプロビジョニングプロファイルを用いて、エンドユーザーの重複しないデバイスID（UDID）を開発者側に登録しなければならず、アプリの配布先も1年当たり100デバイスまでと制限されているうえ、年間99ドルのiOS Developer Programにも登録する必要がある。

　iOS Developer Enterprise Programは、アドホックプロビジョニングで必要だったデバイスIDの登録が不要なため、開発者はOver The Airで誰にでもアプリを配布できるという特徴がある。ただし、参加申請のために年額299ドルの支払いが必要となる。

　このことから同社では、年会費がかかり、Appleへの登録も必要なため、サイバー犯罪者はiOSへの投資を敬遠していると判断。しかし、そうした障壁があっても、システムの悪用を断念する者ばかりとは限らないと結んでいる。

　iOSに対するワンクリック詐欺攻撃の場合、詐欺アプリの制作者はアプリを拡散するためにDeveloper Enterprise Programに登録していたと考えられているが、独自に参加を申請した可能性や別の誰かのアカウントに侵入した可能性もあるため、正確な経路はまだ確認できていないという。

　詐欺アプリの導入経路は、ユーザーがサイトにある再生ボタンをクリックして求められるアプリのインストールだとし、スパムメッセージ中のリンクをクリックして詐欺サイトにリダイレクトするか、あるいはアダルト動画を検索していて偶然たどり着くケースがあるという。

　なおインストール開始時に、信頼できる開発元のアプリではないというメッセージが表示され、このソフトウェアを信頼するかどうかの確認が求められる。「信頼する」という選択をすると、アプリは正規のアプリと同様にデバイスで実行される。

　また、アプリのインストールは、メーカーが設定したユーザー制限の取り除かれた（JailBreakされた）端末であるかどうかに関わらず、iOSデバイスに影響する。

　インストールした詐欺アプリを起動すると、アダルト動画サイトの会員ページが表示され、会員として登録したと説明し、料金の支払いが求められるという仕組みだ。

　シマンテックは同アプリに対し、ユーザーを欺いて料金を支払わせようとする詐欺の一部にすぎず、アプリ自体はデバイスに対して有害ではなく、また単独で個人情報や支払い情報などを収集することもないとしている。アプリをインストールしてしまった場合には、すみやかにアンインストールし、支払い要求を無視するという対処方法を紹介している。