最新のセキュリティ情報

2023/10/01

スマホアプリのインストール時に気を付けたい、「不正アプリ」の脅威

スマートフォンが普及している現代では、「アプリ」の存在は欠かせないものとなっています。普段使いするアプリ以外にも、便利なものから娯楽として楽しめるものまで、様々なアプリが日々開発されているため、いざ自分が利用してみたいサービスをアプリストアで検索してみた際に「どれをダウンロードすればいいのか」と迷ってしまう人も少なくはないでしょう。

しかしながら、そういった何気なくダウンロードするアプリを通して、セキュリティ犯罪に巻き込まれてしまう可能性があることを私たちは認識しておかなればいけません。それが「不正アプリ」と呼ばれる存在です。

情報処理推進機構(IPA)が2023年1月に発表した「情報セキュリティ10大脅威 2023」においても、クレジットカード決済やスマホ決済の不正利用に次いで「不正アプリによスマートフォン利用者への被害」が6位にランクインしています。

本記事では、不正アプリについて、起こり得るセキュリティリスクとその対策、ダウンロードしてしまった場合の対処方法や見分け方などを解説します。

不正アプリとは

通常のアプリに見せかけて利用者を騙しダウンロードさせることで、スマホ端末に保存されている個人情報を外部に勝手に送信したり、クレジットカード情報や外部サービスのログイン情報を搾取したりする悪質なアプリを「不正アプリ」と呼んでいます。

ログイン情報を搾取されてしまうと、SNSの場合は不正なSMSを送信する踏み台に使われてしまったり、ネットバンキングやキャリア決済などの場合には金銭被害に発展してしまうこともあります。ログイン情報を様々なサービスに使いまわしている場合には、さらに被害が広がってしまう可能性があるため、より気を付けなければいけません。

不正アプリがインストールされる経路

「情報セキュリティ10大脅威 2023」で報告されている事例として、以下の方法が確認されています。

不正アプリのダウンロードサイトへ誘導する

実在するウェブサイトに似せた不正アプリのダウンロードサイトを用意し、実在の組織やアプリの更新を騙り、SMSや偽警告等からダウンロードサイトに誘導して直接インストールさせます。 また、SNSで出会った相手を言葉巧みにダウンロードサイトに誘導して、直接インストールさせます。

なお、過去の事例としては、宅配業者や携帯通信キャリア、オンラインショッピングサイトなどに似せたサイトが確認されており、各社が利用者に対して注意を促しています。

公式ストアに不正アプリを紛れ込ませる

不正アプリを正規アプリと見せかけて公式ストアに公開し、利用者が正規アプリだと思い込んでダウンロードしてしまいます。

通常、App StoreやGoogle Playなどの公式ストアで提供されているアプリは、審査を通らないと公開されませんので、安全性が高いように思われますが、中には審査をすり抜けて公開されてしまう不正アプリも存在しています。
アプリによっては、インストール時に悪意ある機能を顕在化させず、アプリの更新時に顕在化させ、不正アプリに変化するケースもあるようです。

不正アプリのダウンロードを防ぐには

不正アプリの被害を防ぐ対策としては、まずは「疑わしいアプリはダウンロードしない」ことが最も重要です。では、実際にアプリをダウンロードしようとした際に、どういった点に着目して不正アプリかどうかを判断すればよいか確認していきましょう。

公式アプリ以外のWEBサイトからのダウンロードは行わない

前述でも述べた通り、公式のアプリストアにアプリを公開するには審査が必要となります。100%安全とは言い切れませんが、アプリは基本的に公式ストアからダウンロードしましょう。また、通常のWEBサイト、特にSMSや警告画面などから誘導されるサイトからのアプリのダウンロードは、不正アプリである可能性が高いため、絶対に行わないようにしましょう。

興味のあるアプリを安易にすぐダウンロードしない

例え公式ストアで公開されているアプリであっても、興味のあるアプリを安易にすぐダウンロードすることは控えましょう。ダウンロードする前に、以下の点を確認してみてください。1つでも当てはまれば、そのアプリは選ばないことをおすすめします。

  • アプリの内容に関する説明に、誤字や脱字、不自然な日本語が含まれている
  • 公式アプリをダウンロードする際、開発元や販売元の項目を確認するとサービスを提供する企業名とは違う名前が載っている
  • 口コミに過去に騙されたと思われるユーザのコメントがある、もしくはサクラと疑える(客のフリをしてアプリを褒める)不自然な投稿がある
  • 極端にレビュー(口コミ)が少ない、評価の低いアプリ

アプリのインストールに関する設定を確認する

Androidの場合

端末の「設定」メニューで、提供元不明のアプリのインストールを許可しない設定が行えます。
※端末やOSのバージョンによって、設定画面が異なる場合があります。詳しくは、メーカーもしくは通信キャリアが提供するマニュアル等をご確認ください。

以下は、Androidタブレットでの設定手順例です。

「設定」メニューを開き、「アプリ」→「特別なアプリアクセス」をタップします。

Frame 11.png

「不要なアプリのインストール」をタップし、Chromeで「許可しない」を設定しましょう。その他アプリについても、「許可しない」を設定いただくことをおすすめします。

Frame 10.png

iOS(iPhone・iPad)の場合

Apple側で承認していないアプリをダウンロードした場合には、「信頼されていないエンタープライズデベロッパ」の画面が表示されることがあります。「設定」メニューよりアプリを「信頼」する設定に変更することもできますが、基本的には不正アプリであることを疑い、アプリを削除しましょう。

ダウンロードしてしまった後に見極めるポイント・注意点

公式ストアからアプリをダウンロードしている場合は特に、不正アプリと気づかないことがあります。ダウンロード直後や現在利用しているアプリにおいては、以下の点に注意しましょう。

不必要な権限を要求していないかを確認する

アプリによっては、スマホ端末の機能や保存されているデータへのアクセス権限の許可がないと正常に動作しなかったり、アプリ内の一部の機能が使えなかったりします。そのため、アプリのインストール時やアプリ起動時に、権限の許可を確認するメッセージが表示されることがあります。

例えば、電話アプリの場合は連絡先、地図アプリの場合は位置情報が必要になります。これらのデータ・機能へのアクセス権限が同意されてはじめて機能は正常に動作します。

しかしながら、不正アプリの中には、明らかにそのアプリに必要のないであろう権限を要求してくるケースがあります。この場合、不正アプリである可能性を疑いましょう。権限の許可は行わず、疑わしい場合にはアプリ自体を削除いただくことをおすすめします。

例えば、「写真編集」のアプリをインストールしようとした際に、「連絡先」のアクセス許可を求めてきたとします。写真編集に連絡先の情報は基本的に必要はありません。許可したことにより、外部に連絡先の情報が漏れてしまう可能性があります。

ログイン情報の入力は慎重に。入力してしまった場合は、パスワードを即座に変更

近年の詐欺サイトは、実在する企業やサービスのサイトをコピーしホンモノそっくりに作られることも多く、見分けがつきにくくなっています。

ログイン情報の入力を求められた場合には、公式のアプリストアで購入(ダウンロード)履歴を確認し、当該アプリの詳細情報をチェックして改めて怪しい点がないかどうかを確認するとより安心です。なお、公式ストア以外のWEBサイトからダウンロードしたアプリでログイン情報の入力を求められた場合には、不正アプリを疑い入力はしないようにしましょう。

万が一、既にログイン情報を入力してしまった場合には、ログイン情報が搾取され第三者に不正利用される危険性があるため、気づいた時点で即座にパスワードを変更するようにしてください。

セキュリティ対策アプリを導入する

Android端末向けセキュリティ対策アプリには、不正アプリを検出し駆除する機能が搭載されています。「自身で見極めるのは難しい」、「家族のスマホ端末を守りたい」という方は、セキュリティ対策アプリをスマホ端末にインストールしておくとより安心できます。

ただし、中にはセキュリティ対策アプリを装った不正アプリも存在しています。特に、無料のアプリやWEBサイトを閲覧中に「ウイルスに感染しています」「危険にさらされています」などといった警告画面が表示されダウンロードを促すアプリについては注意が必要です。

基本的には、知名度の高いアプリを利用することをおすすめします。なお、知名度の高いアプリを利用する場合であっても、公式ストア以外からダウンロードすることは控えましょう。

おすすめのセキュリティソフト:パソコン・タブレット・スマホ、総合的に対策できるセキュリティソフト【カスペルスキー】

security_navi_illust_1_pc.png

カスペルスキーは、そのセキュリティ性能の高さから、世界的評価機関による性能比較テストで数多くの優秀な成績を残しており、12年連続で年間賞を受賞しています。
世界各国で利用者の多い、安心してお使いいただけるサービスです。

Windows、Mac、iOS、Androidの各OSに対応しており、セキュリティリスクの高いAndroidについては、ウイルス対策やネットワーク保護など、包括的に対策ができる機能が搭載されています。

また、パソコン版については、基本的なウイルス対策・マルウェア対策・ハッキング対策などの機能に加え、カスペルスキーには「フィッシング対策」機能が搭載されており、機能をオンにすることで自動でフィッシング対策が行えます。その他、独自機能の「ネット決済保護機能」を搭載しており、ネットバンキングやオンライン決済システムのWebサイトを開く際に保護されたブラウザでアクセスすることが可能です。

カスペルスキーのサービス詳細説明はこちら

Tigers-net.comはセキュリティ対策ソフトがずっと無料

Tigers-net.comでは、インターネットご加入者様により安心してインターネットをお楽しみいただくためにセキュリティ対策に力を入れております。
弊社のインターネットにご加入いただいたお客さまは、「カスペルスキー」と最近流行するフィッシング詐欺などの詐欺サイト対策ができる専用対策ソフト「詐欺ウォール」がご加入中ずっと無料でご利用が可能です。なお、いずれのサービスも合計5台までの端末にインストールできます。

他社インターネットをご契約中のお客さまは、月額330円のコンテンツのみ利用できるベーシックコースもおすすめです。初月無料(当月中の解約であれば、料金は発生いたしません)でお試し利用できますので、セキュリティ対策ソフトを試してみたい方には是非ご活用ください。

記事引用元・参考サイト

情報セキュリティ10大脅威 2023(独立行政法人 情報処理推進機構)

通信事業者を装ったフィッシング(不正アプリに注意)(一般財団法人日本サイバー犯罪対策センター)

スマートフォンを利用している方へ(警視庁)

おすすめのセキュリティ対策

インターネットセキュリティサービス(カスペルスキー)

気になるセキュリティ情報を
まとめてPICK UP!

戻る