Video Screencast Help
Symantec to Separate Into Two Focused, Industry-Leading Technology Companies. Learn more.
Security Response

Android.Exprespam に感染した恐れがあるデバイスは数千台か

Created: 22 Jan 2013 07:47:06 GMT • Translations available: English
Joji Hamada's picture
0 0 Votes
Login to vote

1 月の初めに Android.Exprespam が発見されてからまだ 2 週間ほどしか経っていませんが、すでに詐欺グループはこのマルウェアでかなりの成果を上げているようです。Exprespam が Android ユーザーを欺いて個人情報を盗み出していると推測するに足るデータを入手しました。入手できたデータはごく一部であり、完全なデータではないものの、「ANDROID EXPRESS の PLAY」と称する偽マーケットが 1 月 13 日から 1 月 20 日の間に 3,000 件をゆうに超えるアクセス数を稼ぎだしたことが判明しています。

いくつかの情報ソースに基づいて計算した結果* によると、詐欺グループが盗み出した個人情報は 75,000 件から 450,000 件にのぼる可能性があります。

図 1. 盗み出された恐れのある情報の件数

この詐欺行為が出回り始めてからわずか 2 週間あまりであることを考えると、今はこの詐欺も序の口にすぎず、盗み出される個人情報の件数は急増することが予想されます。その証拠として、Exprespam の作成者がさらに別のドメインを登録しており、新しいドメインで別のバージョンの偽マーケットを展開していることが確認されています。今回のマーケットには特に名前がなく、マーケットの運営者の名前が掲げられているだけです。このブログの執筆時点で、新しいマーケットはまだそれほど利用された形跡がなく、現在も作成中かスタンバイ状態のようですが、だからと言って詐欺グループが足踏みをしているわけではありません。このサイトではすでに、マルウェアの新しい亜種をホストしているからです。

図 2. Exprespam 詐欺グループによって使われているさまざまな偽アプリマーケット

Exprespam に関する一連のブログでおわかりいただけるとおり、詐欺グループは自分たちの行為が十分な利益を生むように、絶えず作戦を変えつつあります。こうした改変の努力は、詐欺グループが逮捕され罰せられるか、人々を騙すことをやめるまで続くと考えられ、そのような日がすぐに訪れるとは思えません。一連のブログをこれまでお読みになった皆さんにとっては、この手口も今やすっかりおなじみであり、こうしたマルウェアをダウンロードしたりインストールしたりすることはないでしょう。

Android をお使いの方は、安全を保つために、不明な送信者からの電子メールに記載されているリンクをクリックしないこと、アプリは信頼できる既知のアプリベンダーからダウンロードすること、そしてノートン モバイルセキュリティSymantec Mobile Security などのセキュリティアプリをデバイスにインストールすることをお勧めします。スマートフォンやタブレットの安全性に関する一般的なヒントについては、モバイルセキュリティの Web サイト(英語)を参照してください。

* どのくらいの個人情報が盗み出されたのかを概算するために、Exprespam の最初の偽マーケットである「Gcogle Play」と、新しい偽マーケットのアクセス数を合算しました。「Gcogle Play」へのアクセス数は 2,000 件と推測しています。このページは、「ANDROID EXPRESS の PLAY」と同じ日数存続していたからです。そのうえで、感染したデバイスに登録されている連絡先の平均件数を計算するために、まずマルウェア Android.Dougalek(別名 "The Movie" マルウェア)と Android.Ackposts によって盗み出された連絡先情報の総数を求め、それを感染数の合計で割りました(報道によれば、Dougalek は 90,000 台のデバイスから約 1,180 万件、Ackposts は 18,000 台のデバイスから約 400 万件の個人情報を盗み出したとされています)。計算すると、盗み出された個人情報はデバイス 1 台当たり 150 件となります。

控え目に見積もって、悪質なアプリを実際にダウンロードしてインストールしたユーザーがごく少数(10 人に 1 人)だったと仮定すれば、感染数は合計 500 件となり、盗み出された個人情報はおよそ 75,000 件ということになります。

逆に、偽サイトへのアクセス後に実際にアプリをダウンロードしてインストールしたユーザー数を多めに見ておよそ 3,000 人と仮定すると、盗み出された個人情報はもっと膨大な数になります。両方の計算結果を示したのが 図 1 です。

盗み出された連絡先情報の数には重複も含まれているという点に注意してください。また、この数字はあくまでも、詐欺被害の規模を理解しやすくするための概算にすぎません。完全なデータは揃っていませんが、実数はこの概算の何倍にも膨れ上がるかもしれません。

更新情報(2013/1/24) - 今回見つかった名前のない偽マーケットにおびき寄せようとする新しい種類のスパムメッセージが出回っていることが確認されました。このスパムは、次のような形式で知人からの電子メールを装っています。

お久しぶりですねー! 元気にしてますかぁ~? 私もやっとスマホに変えましたよ(笑)
最近はのんびりしながらOLしてます♪ 今度、ご飯でも行きましょうね♪ この前、雑誌見て
て面白いアプリあったから見てみて~。 http://linktothefakemarket/xxxxx

1 月 23 日に攻撃が開始されてから、このサイトにはすでに 2,500 回以上ものアクセスがあります。この数字は、シマンテックが以前に収集した数字よりも大きいため、当初推定したよりも詐欺被害の規模が大きくなる恐れがあります。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。