Android.Oneclickfraud の犯人グループが逮捕されたことと、その姉妹アプリが引き続き活動していることをこのブログで報告してから 1 カ月あまりが過ぎました。この 2 つの姉妹アプリに関連する最近の活動については、しばらく様子を見守ったうえで更新情報をお届けしようと考えていましたが、残念ながら、アプリをホストしている 2 つのサイトは今もなお健在であり活動中です。2 つのサイトを運営しているグループは、先月のブログの公開後ただちに行動を起こし、Web サイト上のセキュリティ問題を修正しましたが、一部にはセキュリティホールがまだ残っています。興味深いのはセキュリティ強度が 2 つのサイトで異なっていることで、この点から管理者はそれぞれ別であると考えることができます。実際、2 つのサイトは別々のグループによって運営されているようです。
各グループにはさまざまな点でサイトの更新を急いだ様子も見られますが、その目的はおそらく告発を逃れることでしょう。過去 1 カ月の間にも目立った活動が数多く行われてきたからです。主な変更点をいくつか取り上げてみましょう。
セキュリティ修正に加え、サイト A は名前が「エロっていいとも」から「エロビアの泉」に変更されました。
図 1. サイト A の旧名称
図 2. サイト A の新名称
URL とコンテンツは変わっていません。こちらのサイトのほうが大きく注目を集めたため、犯人グループもそろそろ名前を変更する潮時と考えたのかもしれません。
一方サイト B は、正規のサービスに見せかけようとして、ある時点で(アプリのダウンロードに使われる)ボタンのテキストを「ダウンロード」から「99,800 円」に変更しました。
シマンテックが確認している限りでは、このサイトは現在マルウェアを配信していません。代わりに、ユーザーの IP アドレス、ブラウザ、ハードウェアモデルなどの情報を含む登録完了ページを表示するという単純な手口を使い、ユーザーを脅迫して支払いを要求しています。このタイプの詐欺が成果を上げているのは明らかです。今でもインターネット上には同様のサイトが数多く存在するうえに、詐欺にどう対処すればいいか助言を求める被害者も後を絶たないからです。サイト A も、この種の詐欺に使われるアプリを投下していた時期がありますが、その後はアプリの配信に戻っています。
ここで指摘している変更点は、サイトにアクセスする Android デバイスのみに限定されることに注意してください。どちらのサイトも、当初から Android 以外のデバイスに対しては登録完了ページを表示するという単純な手口を使っており、これは今も同じです。
2 つのサイトは一時的にオフラインになっていたか、リンクが切れていた期間があり、その間は詐欺が不首尾に終わっていました。サイトの所有者が不注意にサイトを更新すると停止時間は長引きます。理由ははっきりしませんが、サイト A に存在するファイルの最終更新日は以前の日付から 7 月 14 日に変更されています。Web サイトで何らかの大きいメンテナンスや更新が行われているということでしょう。
こうした状況にもかかわらず、犯人グループが取った行動は実際に収益の増加をもたらしたようです。サイト A では今も処理された登録数を確認できますが、その数字からは、(精度こそ不確実ながら)増加の傾向が示されています。
図 3. サイト A の 1 日当たりの登録数
この数字が正確だとすれば、登録の合計数は過去 1 カ月だけで、ほぼ 60 パーセントという驚くべき伸びを見せています。
シマンテックは、さまざまなルートを通じてサイトの停止を試みてきましたが、残念ながら今のところ成功には至っていません。その要因のひとつとして、ワンクリック詐欺が違法かどうか断定しがたい場合があるからかもしれません。ユーザーを誘導して登録させるという手口自体が、境界線上の行為だからです。このようなサイトを活動停止に追い込める、もっと有効な体制がないのは不本意ですが、詐欺の被害に遭わないように、このようなサイトに関する情報が十分に浸透することを望むほかありません。近い将来には、サービスプロバイダ、情報セキュリティ団体、関連当局などの組織が連携して、こうしたサイトを効率的に停止できるようになることを期待しています。
これらのサイトは逮捕劇があったため注目が集まりましたが、類似の悪質なアプリを配信するサイトはほかにもあることに注意してください。「エロイド」などがその一例です。
図 4. 「エロイド」のトップページ
このアプリのアイコンは、プリインストールされているダウンロードマネージャアプリのアイコンとほとんど同じです。このようなアイコンが Android デバイス上に 2 つある場合は注意が必要かもしれません。
図 5. 左がダウンロードマネージャアプリのアイコン、右がマルウェアのアイコン
シマンテックはこれらを悪質なアプリと見なし、Android.Oneclickfraud として検出します。シマンテックのモバイル製品をお使いのお客様は悪質なアプリから保護されますが、ユーザーの皆さんもアプリをインストールする際にはご注意ください。アプリをダウンロードするのは、信頼できる既知のマーケットに限定しておくほうが安全です。ノートン モバイルセキュリティなどのセキュリティアプリを使ってデバイスを保護することもお勧めします。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。