送られてきた不審なメッセージからスマートフォンを乗っ取られた、なんて聞くと不安になります。
どうすれば、不審なメッセージを区別できるのでしょう。
今回は、不正なアプリに「乗っ取られ」ないように、アプリをインストールするしくみについて学習してみましょう
1. こんなニュースがありました
ニュースを見ていたら「送られてきたメッセージのリンクを開きたら、アプリに乗っ取られて、すごい請求が来た」という話がありました。
スマホに届いた荷物の不在通知をクリックすると、スマホが乗っ取られ、詐欺メール数千件の送り主になってしまう被害が相次いでいる。
あなたのスマホにも届いていないだろうか? ショートメッセージで送られてくる、身に覚えのない荷物の不在通知。
福岡に住む男性は、このメールに書かれたURLをクリックし、携帯料金の高額な請求が届いた。 被害にあった男性「先月の料金の時に1万2,000円~3,000円高くなっていた」 利用明細には、送った覚えのない大量のショートメッセージの履歴。
大量のSMS“送り主に”!? “乗っ取りアプリ”に要注意
まるでリンクをタッチしただけで乗っ取りアプリに引っかかるように聞こえますが、実はこの乗っ取りアプリ、自分で(意図せずに)インストールしてしまっていたんです。
このケースでは、アプリをインストールする仕組みを知っていれば、防ぐことができます。
1.1. いったいどんなメッセージが来たのか?
先ほどのニュースのケースとは異なりますが、詐欺サイトの実例を見てみましょう。
こんな感じのショートメッセージがスマートフォンに届きます。
青い文字のリンクアドレスが佐川急便のように見えますが、実はこれが偽サイトです。
不審なメッセージのリンクは、タッチしないでくださいね。
1.2. 偽サイトにアクセスすると何が起こるのか?
でも、何が「不審なメッセージ」か、区別できないのよね。
このメッセージだけでは、本物か偽物かわかりませんね。
実際にリンクをタッチすると、本物そっくりの偽サイトにアクセスします。
この時点では、ウェブサイトを表示しただけなので、特にスマートフォンがウイルスにかかったりはしていません。
最近は、セキュリティの進歩とデバイスの多様化(パソコンでもスマホでも見る)で、アクセスしただけで動作がおかしくなるようなページはあまり見かけません。
では、どこから「乗っ取られるか」というと、アプリのインストールです。
画面下にあるメッセージを見てみましょう。
この種類のファイルはお使いの端末に悪影響を与える可能性があります。sagawa.apkを保存しますか?
[キャンセル] [OK]
よく見たら「端末に悪影響を与える可能性があります」って書いてあるのね。
とはいえ、これを「OK」にしても、すぐに悪影響はありません。
まだ、「sagawa.apk(ファイル名はサイトによる)」というデータファイルをダウンロードしただけです。アプリのインストールはしていないからです。
1.3. apkって何?
「sagawa.apk」ってなんなの?
ファイル名のドットの後にある「apk」がファイルの種類を表しています。「apk」というのは、Androidアプリのインストーラーです。
スマホにアプリを入れる(インストールする)と動作に影響があるので、注意喚起のメッセージが出ています。
「インストーラー」というのは、「スマートフォンに新たにアプリを使えるようにするためのプログラム」です。
スマートフォンのシステムの中に、アプリのデータをコピーします。
でも、ふだんからアプリを入れるときにapkなんて見たかしら?
通常は、アプリをインストールする場合は、アプリストアから入手することがほとんどでしょう。Androidならプレイストア、iPhoneならAppストアです。
アプリストアにあるアプリは、完全ではないものの運営しているGoogleやAppleの審査を受けていますし、問題が見つかればすぐに削除されます。
iPhoneの場合は、基本的にはAppストア以外から勝手にアプリをインストールする方法は用意されていません。
非公式のアプリをインストールするために、無理に設定の不備を利用することを「脱獄」といったりします。
1.4. Androidスマートフォンは「提供元不明のアプリ」もインストールできる
それに対して、Androidスマートフォンの場合は、プレイストア以外からアプリをインストールする方法が開かれています。
それが、「apkファイルの配布」です。
プレイストア以外からインストールするアプリのことを、「提供元不明のアプリ」あるいは「野良アプリ」などといいます。
しかし、不用意にapkファイルからアプリをインストールするのは危険なので、通常はインストールできないように設定されています。
「設定」アプリの項目から、「不明のアプリのインストール」を見てみると、「許可 / 不許可」を確認できます。
逆にいうと、いったん「不明のアプリのインストール」を「許可」する設定にしない限り、apkファイルから怪しいアプリがインストールされることはありません。
「不明なアプリのインストールの許可」の設定場所は、機種によって異なります。
・HUAWEI P9 lite(Android 7)では、設定アプリの「セキュリティ」の項目の中にありました。
・Pixel 3(Android 11)では、設定アプリの「アプリと通知」の項目の中にありました。
1.5. どんなときに「不明のアプリ」の許可する?
「不明のアプリ」の許可は、アプリを開発中のときに試験する、などで利用されるもので、通常は「許可しない」にしておくことが大事です。
「不明のアプリのインストール」は許可しない
今回の場合では、偽サイトに不明のアプリを許可する設定が書かれていました。
意味を理解せずにウェブサイトの内容を鵜呑みにして操作してしまうと、引っかかってしまいますね。
ここで、設定を許可して、怪しいアプリをインストールすると、勝手に連絡先にアクセスして、メッセージを送られたり、という被害につながるのです。
インストールしたアプリを利用する時に、「連絡先」や「電話・メッセージ」の「権限の許可」を確認しているはずです。
今回は、怪しいアプリに大量のメッセージを送信されて、通信料金がかかってしまいました。もちろん、このメッセージによって他の人にも被害が広がってしまう恐れがあります。
アプリのインストールは、家に招き入れることと一緒です。
いったんインストールして権限を与えたら、アプリはスマートフォンの機能を好き勝手に使うことができます。るので、信頼できる相手なのかしっかり見極めましょう。
1.6. ここまでのおさらい
ということで、ここまで来ると「乗っ取りアプリ」に乗っ取られてしまいます。
ここまでの流れをもう一度確認してみましょう。
信じ込んでしまうと、途中で気づきにくいのですが、いくつも踏みとどまるポイントがあることがわかると思います。
乗っ取られるのにも、手順があるのね
この手順の量(面倒くささ)が、スマートフォンのセキュリティなんです。
ちなみに、現在 偽サイトの同じアドレスにアクセスしても、警告が表示されますし、ページ自体もなくなっています。
いったん、被害報告された偽サイトは、すぐに遮断されます。
まるで「夜逃げ後」ね……
とはいえ、偽サイトは今も別の新しいアドレスで作られているかもしれません。
2. 偽サイトを見分けるポイント
ここまではどんな流れで、乗っ取りアプリをインストールしてしまうのか、を見てきました。
しかし、なるべくなら早めに気づくことが安全です。
もう一度、偽サイトの表示画面を確認しましょう。
一見、本物そうですが、よく見ると怪しい点がたくさんあるんです。
どこが変だか、気づきますか?
2.1. HTTPSとセキュリティ証明書
まず、1番はSSL通信に関することです。
インターネット接続には、「http」と「https」の2種類があります。
「HTTPS」は、「Hypertext Transfer Protocol Secure(安全なハイパーテキスト転送規約)」の略です。
通常のHTTPと違って、データ転送のときに暗号化してデータのやり取りをするので、入力内容を盗み見られにくい通信方式です。
アドレスが「https://chiilabo.com」であれば、「暗号化した方式(SSL接続)で、ウェブサイト(chiilabo.com)にアクセスする」という意味になります。
反対に、「https://chiilabo.com」であれば、「暗号化せずにウェブサイト(chiilabo.com)にアクセスする」という意味になります。
基本的にはデータ入力をしたり、ログインしたページを見るのでなければHTTPでも十分です。
しかし、最近はセキュリティ意識の高まりで(あと検索エンジンのGoogleが推奨していることもあって)、ほとんどの企業サイトでは全ページがHTTPSに対応されていることが多いです。
ウェブサイトをHTTPSにするには、第三者機関に「証明書」を発行してもらう必要があります。
2.2. セキュリティ証明書の確認の仕方
ウェブサイトがHTTPSになっていて、正しくセキュリティ保護されている場合には、アドレスの左に鍵のマークが付きます(ブラウザにもよりますが…)。
例えば、Chromeアプリの場合は、アドレスバーの🔒(鍵)マークをタッチすることで、誰でもセキュリティ証明書を閲覧できます。
ちいラボのウェブサイトも、セキュリティ証明で保護しています。
この接続は保護されています
お客様がこのさいとに送信した情報(パスワード、クレジットカード番号など)が第三者に見られることはありません。[詳細]
特に入力する欄はありませんが、一応 送信した情報は暗号化されるようになっています。
「詳細」を確認すると、どの機関がセキュリティ証明書を発行しているかも見られます。
Google Chromeで、このウェブサイトの証明書がcPanel Inc Certification Authority 発行のものであることが確認されました。
cPanelは、サイト管理システムの開発会社です。インターネット・プロバイダを仲介して、サイト証明をしてもらっていることになります。
2.3. どうして偽サイトではHTTPSにしないの?
HTTPSにすること自体は、偽サイトでも可能です。
ですので、HTTPSだからといって、必ずしも本物のサイトとは言えません。
しかし、審査や支払いの際に身元情報が必要になるため、わざわざセキュリティ証明書を発行しないことが多いようです。
偽サイトは、数撃ちゃ当たる方式です。
サイトを作り変えて、逃げ回っては、引っかかる人を探します。
偽サイトが違和感があるアドレスになるのは、末尾のアドレスをランダムに変更しながら、どんどんサイトを作っているからなんです。
3. 詐欺サイトはほかにもある
同様の事例をインターネットで探してみると、ざっと見ただけでも2019年以前からあることがわかります。
名前を利用されている配送業者も、佐川急便だけでなく、ヤマト運輸や日本郵便のケースもあります。
3.1. 日本郵便を偽装したケース
例えば、「日本郵便」を騙るメッセージが送られてくることもあります。
ここでも、基本的な注意点は一緒ですね。
3.2. パスワードの入力画面になるケース
他には、アプリのインストール以外に、パスワードを入力させるケースもあります。
もし、ここで不用意にID・パスワードを入力してしまうと大変です。
その情報は犯人に送信されてしまいます。
勝手にメールを使われてしまって、別の犯罪で利用されてしまいます。
今年は、新型コロナウィルスの流行もあり、宅配が増えているそうです。そうすると、不在配達を装う詐欺も増えます。
詐欺は巧妙化していますが、ちょっと知っておくだけで予防することができます。
安心してインターネットを使う役に立てれば嬉しいです。
こちらもどうぞ。
