モバイルユーザーを狙った詐欺に、先手に回る対策を

Ralitsa Miteva, 2022年2月10日

デジタル化が進んでいる昨今、私たちはかつてないほど頻繁にモバイルデバイスを使用するようになりました。特に、金融サービスとのコミュニケーションや銀行口座をリモートで管理するには、モバイルデバイスが欠かせません。英国では、銀行の顧客は金融ニーズを満たすためにモバイルチャネルへの依存度を高めています。 Statista社のデータによると、2008年には英国人のわずか38%がインターネットバンキングやモバイルバンキングを利用していましたが、2021年には80％にまで急上昇しています。昨年、UK Finance は、モバイルバンキングへの移行に応じてモバイルユーザーを狙った詐欺が増加していると報告しました。サイバー犯罪者にとって有利なチャネルであることは、2022年も変わらないでしょう。

最近、研究員は、モバイルバンキングアプリが詐欺師にとって非常に魅力的な標的になっていることを示す新たなエビデンスを確認しました。悪質業者が、 Google Play ストアが課す制限を回避するための新たな手口を模索していることを明らかにしました。正規のものに見える「ドロッパー」アプリは、数ヶ月間は無害な状態が続き、その後、徐々に悪意のあるコードで更新されていきます。この攻撃はゆっくりと進行するため、通常のウイルス対策ソフトのスキャンでは脅威が検知されません。準備が整うと、詐欺師は不正コードを実行し、ユーザーの許可なくアプリをダウンロードし、最終的にはAndroid向けバンキング型トロイの木馬をダウンロードします。

Googleの善意の努力にも関わらず、Google Playストアのアプリに対する監視方法を継続的に更新しているため、それに応じてモバイルユーザーを狙った詐欺攻撃は進化し網の目をくぐり抜けてしまうことを、金融機関は予測しておく必要があります。セキュリティは決して一過性なものではないことを理解することが重要です。しかし、ユーザーのデバイスのセキュリティの衛生状態は、時間の経過とともに変化しています。この場合、ドロッパーアプリが悪意のあるペイロードをダウンロードする前は、デバイスが安全であったと想定できます。それでは、これらの攻撃がどのように発生し、何が行われたのか、また、今後、銀行は顧客に対する同様の攻撃を軽減するために、どのように先手を打てるのかを具体的に見ていきましょう。

知っておくべきこと - モバイルから銀行口座まで

モバイルアプリは、何百、何千行ものコードによって構成されているため、Google Playは毎日何千ものアプリに対して、悪意のあるコードを検出するために多くのスキャンを自動化しています。アプリストアに侵入するために使用される不正アプリは、ある程度の機能を備えており、サイバー犯罪者が攻撃を仕掛けるまでは、スキャンを誤魔化し安全に見えることが分かっています。

悪意のあるコードが更新されると、攻撃者は不明なソースまたはサードパーティからアプリの更新をダウンロードするよう促し、ユーザーを簡単に騙すことができます。

更新後、サイバー犯罪者は、障がいのある方が操作しやすくなるためのアクセシビリティ設定を悪用し、モバイルデバイスの機能を自動化し詐欺行為を行います。同設定を悪用してオーバーレイ攻撃やキーロガーの埋め込みを行い、詐欺師がユーザー名やパスワードを盗んだり、個人情報を盗むためのコードを実行する悪意のあるアプリが確認されています。このような脅威に先手を打つためには、モバイルアプリのセキュリティについては、さまざまなセクターによる積極的な取り組みが必要です。

セキュリティ対策の相関関係

Googleをはじめとするアプリストア運営事業者は、自社のプラットフォームやデバイスの安全を保つために、セキュリティ対策を継続的に見直しています。しかし、Googleのような大手ハイテク企業は、常に多くの新しいアプリや更新に対応しなければならず、多くの悪意のあるアプリがストアに入り込んでしまうことは避けられません。

また、以前から、脅威について顧客への啓蒙活動が求められていました。銀行は、不審なSMSや電子メールのリンクをクリックしない、信頼できないソースからダウンロードしないなど、潜在的な脅威について顧客に注意喚起を実施しています。

しかし、実際には、詐欺師はモバイルユーザーが信じてしまうような多種多様な手口を駆使しているため、どうしても誰かがミスを犯してしまいます。アプリは一見無害なようですが、まさにこのようなこが簡単に起こってしまうのです。銀行が具体的な脅威について顧客に警告する頃には、詐欺師は既にその技術を上回った、無防備な被害者を騙す新たな手口を考案しています。

大手ハイテク企業がアプリストアのセキュリティ要件を積極的に更新し、顧客への啓蒙活動を徹底していても、高度なセキュリティ技術は不可欠です。それにより、後手に回っている状況から抜け出し、既知の脅威であれ未知の脅威であれ、潜在的な詐欺行為を軽減することができます。

安全でない環境下でもセキュリティを保証する

銀行や金融機関は、ユーザーが自社のモバイルバンキングアプリ以外にモバイルデバイスで何をするかの管理はできません。つまり、モバイルバンキングアプリを保護するための最初のステップは、アプリが安全でない環境下で継続的に動作していることを想定することです。このようなアプローチを取らないと、セキュリティは暗黙のうちに大手ハイテク企業にアウトソーシングされてしまいます。しかし、顧客は銀行が自分の口座のお金を守ってくれることを期待していることに変わりはありません。

このような攻撃を軽減するためには、モバイルバンキングアプリは、未知の脅威が顧客を狙った場合も、資金が盗まれる前に、悪意のあるアクティビティやアプリへの干渉を特定できる技術を導入することが重要です。アプリケーションシールドと強力な顧客認証を組み合わせることで、パスワードの盗難を軽減し、アプリの実行環境の整合性を確保することで、感染したデバイスであってもアプリに対する悪意のある干渉を検知し、アプリの実行を停止させることができます。

アプリケーションシールドは、信頼できないデバイス上の未知の脅威に対する強力なセキュリティを保証しますが、そのセキュリティメカニズムはユーザーエクスペリエンスにほとんど影響を与えません。

詐欺師が不正行為を働くために用いる最新技術について私たちが議論している時、詐欺師は既に次の攻撃を計画し新たな手口を開発しています。来年以降も、研究員は新たな脅威や技術を確認し続けるでしょう。今後起こり得る脅威が引き起こす被害を軽減するためには、新たな脅威が出現した時にそれを特定して回避することができる高度な技術を導入することが必要です。