不正アプリとは？

　不正アプリとは、有用なアプリを装って利用者にダウンロードおよびインストールを促し、スマホ内に侵入して裏で不審な動きをする悪質なアプリの総称です。世界的に広く流通しているスマホOSであるAndroidとiOS（iPhone）のいずれでも被害が確認されていますが、オープンソースOSであり、かつ、アプリ配布の自由度も高いAndroidの方が不正アプリの標的になりやすいと言われています。一説によると、AndoroidにはiPhoneと比較して47倍ものマルウェアがあるともされています（Brut India, 2021）。

　不正アプリの多くは金銭の騙し取りを目的としているとされていますが、盗んだ個人情報の拡散やいたずらなどを目的としていることもあります。次に挙げるのは端末に侵入した不正アプリが引き起こす被害の一例です。

利用者情報を抜き取られる被害

　不正アプリには、端末内に保存されている利用者の個人情報を取得し、外部に送信するものがあります。スマホ利用者が気づかないうちに個人情報を盗まれることもありますが、警視庁（2022）は、不正アプリはインストールの際に不自然なアクセス許可を求める場合があるとして注意を促しています。アクセスを許可してしまうと、不正アプリによって連絡帳データが読み取られたり、スマホの位置情報が取得されたり、ショートメールサービス（以下、SMS）が勝手に送信されたりする可能性があります。日本サイバー犯罪対策センター（2021）によると、運送系業者を騙るSMS内のリンクをクリックしたことで不正アプリをインストールしてしまい、自身の端末がこのSMSの送信元になってしまうケースが報告されています。不正アプリによる情報詐取の被害はスマホ利用者自身だけでなく、スマホ内に登録されている連絡先へも拡大してしまう恐れがあります。

金銭を要求される被害

　金銭を要求するタイプの不正アプリは、モバイル版ランサムウェアや身代金要求ウイルスとも呼ばれています。アプリを起動した途端にホーム画面をロックする、もしくは、スマホを操作するごとに金銭を要求するメッセージを表示するなどして、利用者がスマホを操作するのを難しくします。ほかにも、端末内部やSDカード内に保存されたデータを暗号化して利用者のアクセスを阻み、データ復元をちらつかせて金銭の支払いを要求するケースもあります。

迷惑広告の表示被害

　アドウェアとは広告表示により開発元・配布元が収入を得ることで利用者に無料で提供されるアプリのことです。しかし、中には悪質なアドウェアもあり、そのようなアプリをスマホにインストールしてしまうと、端末上に特定Webサイトへの訪問を誘導するポップアップ広告やメッセージが繰り返し表示されるようになります。スマホ利用者にとっては望まない広告が繰り返し表示されるために煩わしさを感じるだけでなく、スマホの動作が遅くなる、バッテリーの消費速度が速くなるなどの二次被害が発生する可能性もあります。

不正アプリは身近な脅威

　独立行政法人情報処理推進機構（以下、IPA）が2021年に発生した社会的影響の大きかった情報セキュリティ事案をまとめた「情報セキュリティ10大脅威　2022」によると、「不正アプリによるスマートフォン利用者への被害」は第7位でした。スマホ利用者を狙ったウイルス関連の被害は2011年にはじめてIPAの「情報セキュリティ10大脅威」に登場して以来、現在に至るまで毎年10大脅威のひとつとして報告されています。スマホが普及しはじめると同時に不正アプリの影響が顕在化していることからも、不正アプリとスマホは切り離せない問題であると言えるでしょう。

被害に遭わないための対策

　子どもが不正アプリの被害にあわないようにするためには、保護者も不正アプリの脅威やその手口を把握し、重要視すべき対策を理解する必要があります。信頼のおけるセキュリティソフトやセキュリティベンダーが提供するペアレンタルコントロールアプリを用いての管理がおすすめです。

アプリのダウンロードは慎重にする

　スマホに新たにアプリをインストールする前に、子どもと保護者でそのアプリの安全性を検討する機会を設けましょう。アプリと開発元の評価やレビューをチェックし、アプリに不審な点がないかをできる限りチェックします。

　インストール時には、アプリが必要以上の権限へのアクセス許可を求めていないかの確認を怠らないようにしましょう。もし使用目的がはっきりしないアクセス許可が求められている場合はインストールを中断しましょう。

アプリは公式アプリマーケットからダウンロードする

　アプリは公式のアプリマーケットからダウンロードするようにしましょう。非公式のアプリマーケットには、正規には有料のアプリを無償でダウンロードできるなどと騙る不正アプリが含まれていることもあります。野良アプリとも呼ばれる提供元不明のアプリのインストールは避けましょう。ただし、過去には公式のマーケットで配布されていたゲームアプリ内にマルウェアが発見されたケースもあるため、アプリと開発元のレビューのチェックは欠かせません。

　「ESET Parental Control for Android」の「Webガード」機能は、子どものスマホから指定のWebサイトへのアクセスをあらかじめ遮断しておくことができるので、非公式のアプリマーケットサイトを登録しておけば、子どもが保護者の許可なくアプリをダウンロードするのを未然に防げます。

「ESET Parental Control for Android」の「Webガード」機能画面

　万が一、子どもが勝手にアプリをダウンロードしてしまった場合でも、「ESET Parental Control for Android」の「レポート」機能があれば、保護者は最近ダウンロードされたアプリをチェックすることができます。怪しいアプリであれば、子どもに確認の上、アンインストールしましょう。

OSやアプリは最新版へのアップデートを心がける

　インストール済みのアプリの脆弱性を利用してスマホに侵入し、不正アプリへとプログラムを書き換えるマルウェアも発見されています。OSやアプリのバージョンを最新版にすることで、マルウェアの影響を受けにくくなります。

不要なアプリは整理する

　正規のアプリであっても個人情報へのアクセスがある場合は、意図せずにその情報をインターネット上に公開してしまう可能性を排除しきれません。使用頻度の低い不要なアプリであれば、放置せずにアンインストールするのが望ましいです。

　「ESET Parental Control for Android」の「レポート」機能では、使用頻度の高いアプリの利用時間を確認できるので、使われていないアプリがあれば削除を検討しましょう。

「ESET Parental Control for Android」の「レポート」機能内「最も使用したアプリケーションの確認」画面　

最後に

　あの手この手で利用者のスマホに侵入を試みる不正アプリの脅威を完全に取り去る方法は現在のところありません。保護者はアプリのダウンロードを子ども任せにせず、子どものスマホで不審な動きをしているアプリがないかを見守る必要があります。ペアレンタルコントロールアプリなどを併用しながら適切な管理を心がけましょう。

参考文献

“令和３年度 ⻘少年のインターネット利⽤環境実態調査 調査結果（概要）”. 内閣府. 2022. https://www8.cao.go.jp/youth/kankyou/internet_torikumi/tyousa/r03/net-jittai/pdf/kekka_gaiyo.pdf,  (accessed 2022-05-07)

“A live conversation with Tim Cook and Brut. CEO #VivaTech”. Brut India. 2021. https://www.youtube.com/watch?v=RMHclZR6Neo, (accessed 2022-05-07)

“スマートフォンを利用している方へ”. 警視庁. 2022. https://www.keishicho.metro.tokyo.lg.jp/kurashi/cyber/security/cyber414.html,  (accessed 2022-05-07)

“通信事業者を装ったフィッシングの注意喚起”. 一般財団法人日本サイバー犯罪対策センター. 2021. https://www.jc3.or.jp/threats/topics/article-382.html,  (accessed 2022-05-07)

“情報セキュリティ10大脅威　2022”. 独立行政法人情報処理推進機構. 2022. https://www.ipa.go.jp/security/vuln/10threats2022.html,  (accessed 2022-05-07)