Proofpoint(プルーフポイント)の研究チームは、世界中で大人気のPokémon GOアプリに関連して、リリース直後の7月初旬にモバイル環境で活動するマルウェアを発見しています。プルーフポイントは、Pokémon GOアプリが7月初めにオーストラリアとニュージーランドで最初にリリースされてからわずか数日後に、Droidjackと呼ばれる悪意ある遠隔操作ツール (RAT: Remote Access Tool) を組み込んでいるPokémon GOアプリの不正なクローンを発見しました。このアプリはまだ広く拡散してはいないようですが、サイバー攻撃者が人気アプリを使ってマルウェアを広めることの容易さを物語ることとなりました。
ほぼ同時期に、他の研究チームもマルウェアやスケアウェア(脅し目的のマルウェア)を発見しています。
最初のリリースから2カ月以上が経ちましたが、Pokémon GOの人気は衰えず、注目を集めています。利用者のGoogleアカウントへのフルアクセス権限を要求する問題や、レアポケモンを求める人々が集団で道路を (時には道路上も) 歩くことが報じられる一方で、開発元のNiantic社はリリース後の1ヶ月間で2億ドルを稼ぎ出したと言われています。先日Appleが行った新Apple Watch発表の際には、Pokémon GOアプリがApple Watchで利用可能になるという発表されました。このアプリは引き続き注目を集め、リアルタイムの継続的なエンゲージメントも増えていくでしょう。
ここまでPokémon GOが一般化してくると、企業ネットワークに接続されることを考慮する必要があります。様々な組織を調査した結果、企業デバイス全体の4.5%にPokémon GOがインストールされており、そのうちごく少数 (4%) ながら、Googleのアクセス権限に関するパッチが適用されていない初期のバージョンが見つかりました。
このことは、Pokémon GOに関連した潜在的に危険なアプリが企業ネットワークに接続されている可能性を示唆しています。Niantic社は、サーバー上のデータを不正に取得しようとするアドオンのマップアプリについて警告を発しています。さらに、Pokémon GOに関連した悪意あるアプリが3件、アメリカのアプリストアで見つかっており、すでにエンドユーザーに配信されてしまったことが確認されています。既に確認されたアプリを含め、悪意の有無にかかわらず必要以上のパーミッションを要求するなど、流出に繋がるようなデータの取り扱いをしている「危ない」アプリが企業のネットワーク内に侵入している可能性があるのです。
Pokémon GOのように社会現象となる場合には、アプリだけが唯一のリスクというわけではありません。リオオリンピックの時にも見られたように、世間の注目を集める事象に関わる詐欺や攻撃は、ソーシャルメディアを利用することが非常に多いのです。Pokémon GOも例外ではありません。プルーフポイントの研究チームはFacebook、TwitterそしてTumblrのアカウントを調べ、Pokémon GO関連のソーシャルアカウントを543個確認し、うち167個 (30%以上) が不正なものだと判明しました。
- 44個のソーシャルアカウントが、Pokémon GOやゲームガイドへのリンクを装った悪意のあるダウンロードリンクを含んでいました。
- 79個がなりすましアカウントでした。
- 21個のアカウントが「無料プレゼント」をうたっていました。
ダウンロードリンクを含むアカウントは、モバイル及びデスクトッププラットフォームの両方に対し、広告とは異なるアドウェア、マルウェア、ソフトウェアを配信するものでした。
例えば、以下に示す不正なFacebookページには、ユーザーにトロイの木馬「Downware」をダウンロードさせるリンクが含まれています。
図1: マルウェアに誘導する不正なPokémon GOのソーシャルページ
他にも、モバイルとソーシャル脅威を組み合わせ、ユーザーをAndroidマルウェアに誘導する不正なFacebookページがありました。
図2: Androidマルウェアにリンクされた不正なPokémon GOページ
プルーフポイントは、少なくとも3つのバージョンの悪意あるPokémon GOアプリを確認していますが、重要なことは、図2に見られるように、ソーシャルメディアがユーザーにAndroid APKファイルをインストールするよう誘導していることです。このAPKが実はマルウェアなのです。「レベルアップ」、「ゲームガイド」、「攻略」などの単語は、ユーザーの注意を簡単に惹くことができるため、頻繁に使われています。
サイバー犯罪者達は、Pokémon GOに便乗してあらゆる攻撃手法を駆使しています。改ざんされたアプリから、詐欺的なソーシャルメディアサイト、別のモバイルマルウェアに誘導するフィッシング投稿まで、様々な手法が使われており、その手法はさらに増え続けています。Proofpoint Mobile Defense(日本でも近日中に提供)は、業界最大規模のモバイルアプリ解析とモバイル脅威インテリジェンスデータベースを活用してマリシャスで危険なモバイルアプリを排除することができます。これを使えば、アプリストアとソーシャルメディアの両方からPokémon GOを装ったマルウェアに対抗することができます。
同時に、攻略やレベルアップ、その他ゲームを有利に進められる方法を検索しているユーザーにとってのリスクという観点では、167個の不正なソーシャルメディアアカウントは氷山の一角に過ぎません。これらの不正アカウントは、ソーシャルメディアの脅威とリスクから身を守るためのセキュリティツールを持っていない、あるいはそういったリスクについて気にしていないユーザーに金銭の請求を行ったり、だまし取ったりするために作られたものです。Proofpointはセキュリティサービスの提供を通じて、関連するパブリッシャーのブランドを守ることができます。
Pokémon GOの人気により、ソーシャルやモバイルエコシステムを超えた様々な攻撃経路が生み出され、プレイヤーや愛好家が狙われています。当初、アプリ開発者ですらGoogleアカウントの過剰なアクセス権限の問題で苦労していました。現在は、組織がSNSやモバイルチャネルを介し、広く配信されているマルウェアや危険なアプリを使った潜在的な情報流出のリスクに晒されていることが真の問題になっています。これは個人も同様で、Pokémon GOに関連する様々なコミュニティと関係を持っていることを自覚し、関連する潜在的なリスクは多様かつスケールが大きいことを理解する必要があります。
Pokémon GOは、サイバー攻撃者達が新しいターゲットを狙う際、世間が関心を持っている事象を狙うことを示す良い例といえます。Pokémon GOから人々の関心が移っていけば、攻撃者達は「次なる目玉」を求めてホリデイシーズン、大統領選挙、スポーツイベントなどを狙ってくるでしょう。
【追記】
最近では、サードパーティによるアプリストアを通じて、ゲームを有利に進めるためのチート行為を組み込んで改ざんされたポケモンGOの配布が確認されています。
改ざんされたアプリは、入念に作成された不正なエンタープライズ証明書が使用され、ジェイルブレイクされていないiPhoneにインストールしても問題なく起動する事ができました。本アプリは英語に対応したベトナムのアプリストアより既に1200万回ダウンロードされている事が判明しています(以下スクリーンショット参照)。
この他の複数のストアでも同様のモバイルマルウェアが配布されていることが分かっており、プルーフポイントでは一刻も早くストアから削除されるべきだと考えています。
また、これらのストアからは意図せずに独自のアプリがインストールされる場合があり、アプリの入手とは別に大きなリスクが伴います。
このような不正なエンタープライズ証明書を悪用する例が発生していることから、包括的なモバイルアプリの分析を進める必要性が改めて浮き彫りになりました。