McAfee Blog
マカフィー株式会社公式ブログ

McAfee, Inc.

2016年1月18日 更新

バックエンドの“脆弱性”を突いたモバイルバンキング攻撃 ~セキュリティ対策が不十分なモバイル アプリのコーディング手法がユーザーの情報を危険にさらす

 

モバイル アプリは便利で使いやすいものですが、開発者が十分にバックエンドのセキュリティ対策をとっていないこともあります。Amazon、Facebook、Googleなどの大手インターネット関連企業は、多くのアプリに対して、安全なデータ ストレージとデータ管理機能を備えたバックエンド サービスを提供していますが、これらのサービスへのアクセスに際してセキュリティ対策をするかどうかは、アプリ開発者次第です。

今年初め、McAfee Labsは、ドイツのダルムシュタット工科大学およびフラウンホーファー研究機構安全情報技術研究所(SIT)と共同で、大手BaaS(Backend-as-a-Service)プロバイダー3社(Facebook Parse, CloudMine, Amazon AWS)に接続する200万個のモバイル アプリを調査しました。その結果、多くのモバイル アプリがセキュリティで保護されておらず、氏名、メールアドレス、パスワード、写真、口座情報、医療記録など、アプリに関連するクラウド ストレージへの不正アクセスが可能なことが判明しました。これらの情報は、なりすまし犯罪、マルウェアの配布、金融詐欺に悪用される可能性があります。

McAfee Labs脅威レポート:2015年11月では、一部のモバイル アプリの開発者は、バックエンド サービスから要求される文書やセキュリティのガイドラインを順守していないことが指摘されています。ほとんどのモバイル アプリでは、秘密鍵がアプリに組み込まれているため、重要なデータや記録の操作には、アプリの基本的な動作とは異なる領域を使用することが、最も重要な推奨事項のひとつになっています。これが順守されていない場合、最小限の技術知識があれば誰でも、簡単に秘密鍵を抽出し、重要なデータや記録を読み出し/更新/削除することができます。

Img

皮肉なことに、マルウェアが埋め込まれたモバイル アプリも、アプリが使用するバックエンド サービスのセキュリティ ガイドラインを順守していないため、研究者がそれら埋め込まれたマルウェアの悪意ある活動を調査することが可能です。私たちは、294,817個のモバイル マルウェア アプリを分析し、そのうち16個で、一般的なバックエンド サービスであるFacebook Parseに接続する際に、セキュリティの不十分なコードが使用されていることを発見しました。これらは、Android/OpFake、Android/Marryという2つのモバイル バンキングを狙うトロイの木馬とも連携していました。Facebookでは通知を受け、これらのアカウントを閉鎖しています。

私たちは、これらのトロイの木馬がどのように動作し、どのような情報を収集しているかを把握するため、逆コンパイルして分析しました。例えば、人気のあるロシアのインスタントメッセージングアプリからのテキスト メッセージを装うメッセージに埋め込まれたリンクを介してインストールされたマルウェアは、自身のアイコンを非表示にし、バックグラウンドでサービスを起動してSMSメッセージを傍受し、ユーザーの情報をコントロール サーバーに送信します。マルウェアのエージェントは、感染したスマートフォンのコマンドを管理するためにバックエンド サービスを使用し、そしてモバイル バンキング アプリから送られてくるSMSメッセージを待ち受けて、それらを改変/再利用します。

2015年6~7月の2カ月間で、これら2つのマルウェアファミリーだけでも、170,000件近いSMSメッセージを傍受していました。その多くは個人的なメッセージで、感染者のプライバシーに影響を及ぼすものでした。これらのメッセージの中には、銀行口座に関連するクレジットカード番号や残高照会、送金などの銀行取引情報が多く含まれていました。そして、この間に20,000回以上のコマンドが実行されましたが、その大半が金融詐欺を仕掛けるためのものでした。

バックエンド サービスを悪用するマルウェアのデータ格納庫内のデバイスIDを数えた結果、約40,000人のユーザーがこれら2つのトロイの木馬に感染していたことが分かりました。

この調査で分かったことは、スマートフォンにダウンロードするモバイル アプリには細心の注意を払う必要があるということです。特定のアプリについて、バックエンドのセキュリティ対策を確認することは非常に困難なため、第三者によるセキュリティ認証を受けた、有名なアプリのみを使用することを推奨します。また、デバイスをルート化せず、必要な管理者権限を使用した後は必ずルート解除してください。多くの場合、マルウェアは、アクセス権限を悪用して、同意を得ずに、アプリを秘密裏にインストールします。

モバイル アプリの脆弱性に関する詳細は、インテルセキュリティの最新の脅威レポート『McAfee Labs Threats Report: November 2015(McAfee Labs脅威レポート:2015年11月)』をご参照ください。

2017 MPOWER : Tokyo開催
必見 ランサムウェア情報 身代金被害急増中!

Also Find Us On

マカフィーは世界最大規模の独立系サイバーセキュリティ企業です。業界、製品、組織、そして個人の垣根を超えて共に力を合わせることで実現する、より安全な世界を目指し、企業そして個人向けのセキュリ ティソリューションを提供しています。詳細は http://www.mcafee.com/jp/ をご覧ください。

 

© 2003-2017 McAfee, Inc. All Rights Reserved.