「やられた!」とつぶやき続々、Androidを狙う詐欺が横行 [2013年2月22日]

.
人口5000万人の韓国で3000万人がスマートフォンユーザーというほど、幅広い世代に愛用されているスマホだが、スマホユーザーを狙った詐欺が後を絶たない。事態を受けて、振り込み詐欺キャンペーンのように、警察庁とマスコミが一体になって「騙されるな!」と詐欺手法を公開し、キャリアも被害者の救済に乗り出した。

 スマホ詐欺はAndroid OSユーザーをターゲットにした、悪性コードによるものだ。キャリアのカスタマーセンターから届いた請求書や、商品と交換できる無料商品券のように見せかけたリンクを貼ったSMSをハッカーが送信。受信した人がリンクをクリックすると悪性コードによってハッカーにスマホを乗っ取られてしまう。ハッカーは乗っ取ったスマホを使って「携帯電話小額決済」を利用。被害者は1~2カ月後、キャリアから届いた本当の明細を見て詐欺にあったことに気付くというパターンである。


 携帯電話小額決済は、オンラインゲームサイトやデジタルコンテンツのように小額商品を決済するための決済方法だ。Webの決済画面に携帯電話番号と住民登録番号を入力し、携帯電話にSMSで送られてくる6桁の認証数字をもう一度Web画面に入力する。最大30万ウォン(約2万7000円)まで決済可能で、決済金額は携帯電話料金に合算請求される。


 ハッカーは住民登録番号と携帯電話番号を手に入れてからハッキングするために悪性コードを送信、スマホを乗っ取ってSMSを自分のスマホで受信するよう操作する。認証数字はハッカーのスマホに届くので、被害者はスマホが乗っ取られたことも、小額決済が行われていることも請求書が届くまで気付かない。ハッカーは被害者の電話番号と個人情報を利用して仮想マネーサイトで小額決済、その後、仮想マネーをポイント統合サイト経由で現金化する。


 この詐欺手法を「SMS」+「Phishing(フィッシング)」を合成して「smishing(スミッシング)」と呼ぶ。


 ポータルサイトのQ&A掲示板にはスマホsmishing詐欺被害の救済方法を問い合わせる書き込みが後を絶たず、SNSでも「やられた!」というつぶやきが絶えず書き込まれる。加入者数が最も多いSKテレコムの場合、2013年1月だけでsmishing被害の届出件数は16万件を超え、前月比4倍になった。


 スマホのsmishing詐欺が社会問題にまで発展する中、キャリアも動き出した。従来キャリアは、ユーザーが詐欺にあったとしても、実際に決済をした仮想マネー会社に問い合わせろというだけで、取り合うことはなかった。もちろん、個人情報と認証番号が合致していれば手続き上に問題がないとして請求を取り消すこともなかった。


 増える詐欺事件に、キャリアは、ユーザーから被害届があった小額決済に対しては請求を留保し、詐欺によるものなのかを確認してから決済を取り消すことにした。また、6桁の認証番号のうち3桁をユーザーがあからじめ登録しておくように制度を変えた。スマホを乗っ取ったハッカーが認証番号を受信しても、ユーザーが設定した3桁の数字が分からなければ小額決済はできない。smishing詐欺に使われたURLをスパム登録してアクセスできないように遮断する対策も講じている。









韓国警察庁が公開した、smishing詐欺に実際に使われたSMSの内容。キャリアのカスタマーセンターから送信した請求書のように電話番号まで偽装している。請求書だと思ってURLをクリックすると悪性コードに感染し、スマホを乗っ取られてしまう



 ところが、スマホ詐欺はsmishingだけではなかった。スパイアプリを使えば盗聴、位置追跡はもちろん、スマホでやっていること全てをハッカーが盗み見ることができて、そのスマホをハッカーが自由自在に遠隔操作できる。こうなると、自分のスマホが自分のものではなくなる。スマホからモバイルバンキングを利用する人も増えている中、バンキング用のIDと暗証番号もハッカーが盗み見してお金を引き出すことができるのだ。これも被害が発生するまで自分のスマホにスパイアプリが仕組まれていることに気付かない。


 警察庁サイバーテロ対応センターは、スマホ詐欺はAndroid OSのスマホがターゲットになっていると分析した。Androidアプリは「.apk」ファイルなので、ハッカーは「.apk」の中にスパイアプリを仕組んで人気有料アプリを無料でインストールできると宣伝してばら撒く。ファイル名で悪性コードなのか正常のアプリなのか区別がつかない。Google Playではなく、違法なルートで有料アプリを無料でインストールしようとするユーザーは悪性コードに感染する可能性が非常に高い。


 ユーザーがまず気を付けることは、Google Playからアプリをインストールする際、アプリの権限を確認して、例えばゲームアプリなのにカメラ・位置・連絡先・オーディオ・SMSなどをアプリ会社が制御できるよう過度な権限を求める場合は疑うことだ。知らない間にアプリが勝手にインストールされることがないよう、スマホのセキュリティ設定を強化することが重要になる。


 Android OSのスマホを狙った悪性コードの場合、日本のユーザーも安心してはいられない。スマートフォンを盗聴できるスパイアプリや悪性コード問題は、スマホが普及し始めた2010年から存在した。韓国では、「悪性コードの存在は知っていたけど、まさか自分が狙われるとは思っていなかった」という雰囲気である。日本でも被害が広がる前に気を付けてもらいたい。




趙 章恩=(ITジャーナリスト)

日経パソコン
 

-Original column
http://pc.nikkeibp.co.jp/article/column/20130222/1080883/