モバイル端末を狙うマルウェアへの対応FAQ
JPCERT/CCでは、2018年ごろから確認されているモバイル端末を対象とした情報窃取マルウェアの感染活動およびフィッシングサイトへ誘導するモバイル端末を狙った攻撃の増加を確認しています。加えて、海外のセキュリティ組織からマルウェアに感染している日本国内のモバイル端末に関する報告を受けており、多数のモバイル端末がマルウェアに感染していることを確認しています。
また、このようなモバイル端末を狙った攻撃に使用される不正なWebサイトの報告件数は、直近で5,000件を超えており増加しています(図1)。
多くのモバイル端末ユーザーが、マルウェア感染やフィッシングの被害に直面している状況を鑑み、JPCERT/CCでは、モバイル端末のマルウェア感染対策および感染後の対応方法についてよくある質問をまとめました。自身のモバイル端末でマルウェア感染が疑われる場合や、マルウェア感染の通知など受け取った場合は、以下の内容を参考に対応をお願いします。
なお、ここで取り上げるマルウェアおよび対策方法については、昨今日本のモバイル端末ユーザーをターゲットにしたMoqHaoおよびTianySpyと呼ばれるマルウェアを一例として記載していますが、一般的なモバイル端末向けセキュリティ対策として活用いただける内容になっています。
図1:JPCERT/CCが報告を受けたモバイル端末を狙った攻撃に使用されるURL数の推移
目次
1. マルウェア感染の手口とは?
2. 不審なSMSとはどんなもの?
3. 不審なSMS・偽サイトの見分け方は?
4. 不審なSMSが届いた場合どうしたらいいの?
5. 不審なSMSにあるリンクにアクセスするとどうなるの?
6. どうしたらマルウェアに感染するの?(Android OS編)
7. どうしたらマルウェアに感染するの?(iOS編)
8. マルウェアに感染するとどうなるの?
9. マルウェア感染有無の確認方法
10. マルウェア感染確認後の対処方法
11. マルウェアに感染しないためには
1. マルウェア感染の手口とは?
不審なSMSに記載されたURLにアクセスすると不正なサイトに繋がり、不正なアプリ(マルウェア)をダウンロードするようメッセージが表示されます。指示通りにアプリをダウンロードして、インストールしてしまうとマルウェアに感染してしまいます。
図2:不審なSMSの例
2.不審なSMSとはどんなもの?
不審なSMSメッセージにはいくつも種類があります。例えば、宅配便の不在通知を装ったものや、コロナワクチンの予約アプリ(マルウェア)をダウンロードするよう誘導する内容など、受け取った人がアクセスしてしまいそうなものが使用されています。
なお、このような不審なSMSは、マルウェアに感染した他の被害者のモバイル端末から送信されている場合もあります。
「やまと運輸よりお荷物を発送しましたが、宛先不明です、下記よりご確認ください。」
「佐川急便よりお荷物のお届けに上がりましたが宛先不明の為持ち帰りました」
「新型コロナウイルス予防ワクチン無料予約受付中です、アプリインストールしてください。」
「ドコモお客様センターです。ご利用料金のお支払い確認が取れておりません。ご確認が必要です。」
「auお客様センターです。ご利用料金のお支払い確認が取れておりません。ご確認が必要です。」
「【ソフトバンクからのお知らせ】ご利用金額が設定した金額を超えました。早急にご確認ください。」
不審なSMSに関する注意喚起
» トレンドマイクロ:実例で見るネットの危険:「新型コロナウイルス」に便乗する攻撃メール
https://blog.trendmicro.co.jp/archives/23740
» 佐川急便:佐川急便を装った迷惑メールにご注意ください
https://www2.sagawa-exp.co.jp/whatsnew/detail/721/
» ヤマト運輸:ヤマト運輸の名前を装った「迷惑メール」および「なりすましサイト」にご注意ください
https://www.yamato-hd.co.jp/important/info_181212.html
» 日本郵便:日本郵便を装った不審メールにご注意ください
https://www.post.japanpost.jp/notification/notice/2021/0118_01.html
» NTT docomo:【注意喚起】「あんしんセキュリティ」の偽アプリにご注意ください
https://www.nttdocomo.co.jp/info/notice/pages/210611_00.html
» au:【追加掲載】【お知らせ】不審なSMSにご注意ください!
https://www.kddi-fs.com/contents/important/0189/
» SoftBank:当社をかたる不審なメールやサイトに関するご注意
https://www.softbank.jp/mobile/info/personal/news/support/20211001a/
» Rakuten Mobile:【お客さまへの注意喚起】通信事業者などを装うフィッシング詐欺にご注意ください
https://network.mobile.rakuten.co.jp/information/news/other/736/
3. 不審なSMS・偽サイトの見分け方は?
以前は、不自然な日本語が使用されることもありましたが、現在では、文章やURLなどから不審なSMSや偽サイトのURLだと見分けることは難しくなっています。また、偽サイトでは公式のロゴなどを盗用しており、アクセスしたサイトが偽物かどうかを見た目から判断することは困難です。
そのため、SMSに記載されたURLにはアクセスせず、対象のサービスの公式サイトから確認することが大切です。
4. 不審なSMSが届いた場合どうしたらいいの?
不審なSMSに記載されたURLにはアクセスせず、そのまま削除することを推奨します。
もし、不審なSMSの内容が携帯会社などからの案内等で、内容を確認したい場合はSMSに記載されたURLにはアクセスせず、その企業の公式サイトから確認することを推奨します。
5. 不審なSMSにあるリンクにアクセスするとどうなるの?
偽サイトに繋がり、不正なアプリ(マルウェア)のダウンロードを促されます。または、フィッシングサイトに誘導されることもあります。
また、偽サイトにアクセスしただけでは、マルウェアに感染しませんが、間違って不正なアプリ(マルウェア)をインストールしてしまうことや、フィッシングの被害に遭わないためにも、不審なSMSに記載のURLにはアクセスしないようにしましょう。
6. どうしたらマルウェアに感染するの?(Android OS編)
不正なアプリ(マルウェア)をダウンロードし、インストールしてしまうとマルウェアに感染してしまいます。
以下に、一例として、docomoあんしんセキュリティをかたる不正なアプリ(マルウェア)をダウンロードしてしまう流れを説明します。
なお、時期によって、かたる偽サイトやダウンロードされるアプリ名が変わる場合があります。
不審なSMSに記載されたURLにアクセスすると、「docomoあんしんセキュリティ」をかたる偽サイトへ繋がります(図3)。なお、偽サイトにアクセスしただけでは、マルウェアに感染しないため、間違ってアクセスしてしまった場合は、焦らず偽サイトを開いてしまったブラウザーを閉じてください。
図3:偽サイトへアクセスし、不正なアプリ(マルウェア)をダウンロードしてしまう例
偽サイトでは、不正なアプリ(マルウェア)のインストールを促すページが表示され、「ダウンロード」をタップすると、ブラウザーのダウンロード確認ポップアップが表示されます(図3:偽サイト画面3)。引き続きダウンロードをタップすると不正なアプリ(マルウェア)がモバイル端末へダウンロードされます。
なお、この時点では、モバイル端末はまだマルウェアには感染していません。ダウンロードしたファイルをそのまま削除すれば問題ありません。
1. ホーム画面より「ファイル」をタップ
2. 「ダウンロード」を選択しダウンロードフォルダーを開く
3. ダウンロードした不正ファイルを長押しして、右上のごみ箱のアイコンをタップし削除
*モバイル端末によっては、ファイル一覧アプリの見た目が異なる可能性があります。
図4:不正なファイルを削除する
「ダウンロードして開く」をタップすると、ブラウザーから「不明なアプリをインストールすることができません」と注意が表示されます(図5:モバイル端末画面1)。そのまま設定をタップし、「この提供元のアプリを許可」を有効にして(図5:モバイル端末画面2)インストールをタップすると不正なアプリ(マルウェア)がモバイル端末にインストールされマルウェアに感染します。
図5:ダウンロードした不正なアプリ(マルウェア)をモバイル端末上でインストールする例
7. どうしたらマルウェアに感染するの?(iOS編)
iOS(iPhone)への攻撃は、不審なSMSに記載されたURLにアクセスするとAppleID や 携帯キャリアなどのログインページをかたるフィッシングサイトに繋がる場合と、Android OSと同様に不正なアプリ(マルウェア)のダウンロードを誘導する偽サイトなどに繋がる場合があります。
不正なアプリ(マルウェア)のダウンロードを誘導する偽サイトでは、不正な構成プロファイルをダウンロードしてインストールするよう指示されます。この不正な構成プロファイルをインストールしてしまうと、App Store以外からアプリのインストールができるようになります。引き続き、指示に従い不正なアプリ(マルウェア)をインストールするとマルウェアに感染してしまいます。
もし、不審なSMSに記載されたURLにアクセスしてしまった場合は、認証情報の入力を求められても入力はしないようにしましょう。また、プロファイルやアプリのインストールを促された場合も指示に従わず、そのままブラウザーを閉じてください。
次の記事では、構成プロファイルを悪用してマルウェアをダウンロードさせる手口についてiPhoneで検証された動画が掲載されています。
» JC3(日本サイバー犯罪対策センター):通信事業者を装ったフィッシング(不正アプリに注意)
https://www.jc3.or.jp/threats/examples/article-409.html
8. マルウェアに感染するとどうなるの?
マルウェアに感染したモバイル端末は、バックグラウンドで攻撃者の用意したサーバー(C2サーバー)と通信を行います。マルウェアは、モバイル端末内の情報をC2サーバーへ送信したりSMSを勝手に送信したりなどさまざまな命令を実行します。
● 電話帳の情報(登録名、電話番号)を C2サーバーへ送信
● 端末に保存されているSMSメッセージをC2サーバーへ送信
● 感染したモバイル端末の電話番号を使って、不審なSMSを勝手に送信する
● 通知機能を無効化
● フィッシングサイトを表示
● オンラインバンキングアプリがインストールされていると、そのアプリに対応するフィッシングサイトを表示
9. マルウェア感染有無の確認方法
自身の端末が感染しているか確認したい場合や、マルウェアをインストールしてしまった場合は、利用者の利用環境、契約している携帯事業者によっては、次の点からマルウェア感染に気付くことができる可能性があります。
● アプリの一覧から見覚えのない、あるいは誤ってインストールしたアプリがないかを確認する
● ウイルス対策アプリ※でフルスキャンを行い、マルウェアに感染しているかを確認する(Android OS)
● 誤ってインストールした、もしくはインストールした覚えのない不審な構成プロファイルがないかを確認する(iOS)
● 携帯の利用料金を確認し、身に覚えのない課金などが発生していないかを確認する
● 携帯事業者によっては、1日のSMS発信数に制限を設けていた場合、制限に引っかかり通知などで大量に身に覚えのないSMSを送信していることに気付く
● モバイル端末のSMS送信ボックスに身に覚えのないSMSを送信しているものがある
● 利用しているアカウントサービスの身に覚えのないパスワード変更通知などが届く
● 月締めの携帯事業者からの請求書に身に覚えのない従量課金やサービスの利用がある
※携帯事業者の推奨するウイルス対策アプリやGooglePlayで配信されているウイルス対策アプリなど
10. マルウェア感染確認後の対処方法
● 削除方法1: ウイルス対策アプリを使用して不正なアプリ(マルウェア)を削除
携帯事業者の推奨するウイルス対策アプリやGooglePlayで配信されているウイルス対策アプリをインストールしてご使用ください。
● 削除方法2: 手動で不正なアプリ(マルウェア)を削除する場合
- 「設定」→「アプリ」からインストールされているアプリの一覧を表示
- アプリの一覧に身に覚えのないアプリ、またはインストールしてしまった不正なアプリ(マルウェア)が、無いか確認します
- 削除するアプリをタップし「アプリ情報」から「アンインストール」を選択し不正なアプリ(マルウェア)を削除します
図6:不正なアプリ(マルウェア)をアンインストールする
● 削除手順1: 不正なアプリ(マルウェア)を削除する
- 「設定」→「一般」→「iPhoneストレージ」を開きます
- アプリの一覧に身に覚えのないアプリ、またはインストールしてしまった不正なアプリ(マルウェア)が無いか確認します
- 削除するアプリを選択し、「Appを削除」をタップします
● 削除手順2: 不正な構成プロファイルを削除する
iOS14 まで
- 「設定」→「一般」→「プロファイルとデバイス管理」を開きます
- 誤ってインストールしてしまった構成プロファイルを選択し、削除します
» Apple:iPhoneで構成プロファイルをインストールする/削除する
https://support.apple.com/ja-jp/guide/iphone/iph6c493b19/ios
iOS15
- 「設定」→「一般」→「VPNとデバイス管理」を開きます
- 誤ってインストールしてしまった構成プロファイルを選択し、削除します
利用環境により操作が異なる場合があるため、詳細は、回線契約事業者のホームページなどをご確認下さい。
フィッシングサイトに情報を入力してしまった場合や、マルウェア感染が確認された場合は、窃取された情報が悪用される恐れがあります。そのため、以下の確認事項もあわせて確認してください。
キャリア決済、クレジットカード決済などの決済サービスで身に覚えのない支払いなどが行われていないか確認してください。
インターネットバンキング、SNSアカウント、Googleアカウントなどの各種サービスで利用しているアカウントのパスワード変更を行ってください。
フィッシング対策協議会WEBサイト フィッシング対策の心得の「3.5 間違って重要情報を入力してしまったら」を参考に対応してください。
» フィッシング対策協議会:フィッシング対策の心得
https://www.antiphishing.jp/consumer/
11. マルウェアに感染しないためには
マルウェア感染による被害を受けないために、次のことに注意してください。
- SMSに記載されたURLへはアクセスしない(公式サイト等で確認する)
- 提供元不明のアプリのインストールを許可しない
- 安易に構成プロファイルのインストールを許可しない
- GooglePlay、App Store以外からのアプリのダウンロード、インストールは控えることを推奨します
- ウイルス対策アプリをインストールする
参考情報
» IPA:宅配便業者をかたる偽ショートメッセージに関する相談が急増中 ~誘導されるままAndroid端末にアプリをインストールしないように!~
https://www.ipa.go.jp/security/anshin/mgdayori20180808.html
» IPA:宅配便業者をかたる偽ショートメッセージに引き続き注意!
https://www.ipa.go.jp/security/anshin/mgdayori20200220.html
» JC3:運送系企業を装ったフィッシングの注意喚起
https://www.jc3.or.jp/threats/topics/article-211.html
» JC3:通信事業者をかたるスミッシング詐欺の手法に係る注意喚起
https://www.jc3.or.jp/threats/topics/article-245.html
» JC3:不正アプリによる銀行を騙ったフィッシングサイトへの誘導
https://www.jc3.or.jp/threats/topics/article-275.html
» JSSEC:スマートフォン・サイバー攻撃対策ガイド「SMS認証の悪用、スミッシング(SMS+フィッシング)」
https://www.jssec.org/column/20201130.html
» トレンドマイクロ:通信事業者を装ったSMSから感染を広めるモバイルマルウェア「TianySpy」を確認
https://blog.trendmicro.co.jp/archives/29322
» フィッシング対策協議会:au および KDDI をかたるフィッシング
https://www.antiphishing.jp/news/alert/au_kddi_20211126.html
» フィッシング対策協議会:宅配便の不在通知を装うフィッシング
https://www.antiphishing.jp/news/alert/fuzaiSMS_20201218.html
インシデントレスポンスグループ 渕上 侑汰