Opfake の攻撃者集団はこれまでに、Symbian と Android のモバイルデバイスを狙ってきましたが、だからと言って標的がこれらのプラットフォームに限定されているということではありません。儲けを生み出せるのであれば、攻撃者は惜しみなく時間とリソースを注ぎ込むものだからです。これには、iPhone ユーザーを狙う詐欺も含まれています。シマンテックが Opfake を確認したいくつかの Web サイトは、悪質なアプリ(シマンテックの検出名 Android.Opfake)をホストしているだけではなく、iPhone ユーザーに対してソーシャルエンジニアリング攻撃を実行するように設計されています。
iPhone は、Apple App Store 以外ではアプリケーションをインストールできないように設計されています。そのため、Android や Symbian のデバイスに対する攻撃と同じようにユーザーを欺いて悪質なアプリをインストールさせるという手口は、なかなか通用しません。この制約を回避するために、Opfake の集団は、サイト訪問者を欺くためのアプリを必要としないソーシャルエンジニアリングの手法を生み出しました。
これまでに、2 種類の Web サイトが確認されています。1 つ目は、ブラウザが旧式なので更新が必要であるとユーザーに思い込ませようとするサイトです。
ページの下部にある更新ボタンをクリックすると、ブラウザがインストールページに移動し、更新の進行状況が示されますが、実際に更新が行われることはありません。
「インストール」が完了すると、アプリケーションの不正コピーを防止するために、この端末の電話番号を入力するように要求されます。
指示どおりに入力すると、確認のために SMS メッセージが送信されたと通知されます。
この点はシマンテックでも確認できていませんが、Opfake 攻撃者集団が有料 SMS メッセージを好んで利用することから考えると、ユーザーに送信されるメッセージは、有料メッセージ詐欺への誘導である可能性が高いでしょう。
2 つ目のタイプの Web サイトには、偽の Android マーケットが表示されます。iPhone を使ってサイトを表示しているにもかかわらず、ユーザーはマーケットの中を自由に移動でき、気に入ったアプリがあればダウンロードも試みることができます。iPhone から Android マーケットを閲覧できるというのはいくぶん奇妙ですが、これがアプリのダウンロードを誘う手口と考えられます。なかには、Apple App Store では手に入らないアプリもあるからです。技術的なことに詳しくないユーザーであれば、Android OS アプリが iOS では動かないということを知らないかもしれません。上述したブラウザ上の手口と同じく、ここでもアプリの「インストール」が完了すると電話番号を入力するように誘導されます。
これまで安全なアプリしか公開されないという素晴らしい歴史を誇ってきた iPhone も、今回紹介したような攻撃を防ぐことはできません。フィッシング攻撃に対しても同様です。すべてはブラウザ上で進むからです。ユーザー自身がこのような攻撃に注意して、自分で身を守ることが大切です。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。