不正アプリのお話 ( 自分で入れちゃう話 ) 2

(1)

個人の身近に迫る情報セキュリティ脅威

～組織を守るために、まずは個々人の意識を高めよう～

2016年10月25日

独立行政法人情報処理推進機構

技術本部セキュリティセンター

調査役加賀谷伸一郎

(2)

不正アプリのお話

(3)

SNSやメールで不正アプリサイトへ

誘導する事例（

2012年9月）

Subject:スマホの電池切れを解消！便利アプリを紹介[APP マグ] Date:2012/09/24 11:30 To:●●@i●.jp 今回はアプリを紹介します。 □ 電池バッテリー改善アプリ ---http://●.net/●/◆◆.html スマホの電池切れを解消する、画期的なアプリが出ました。このアプリを入れるだけで、朝充電して帰宅まで充電が不要になりました。有料版や無料版を数多く試してきましたが、今のところこのアプリが「ベスト」です。バージョンアップの期間中だけ、無料でダウンロードが可能です。今すぐ試してみて下さい！ □ 安心スキャン ---http://●.net/●/▼.html 一番最初に入れたいウイルス対策アプリ。軽い動作と、常に最新のウイルス対策パターンをダウンロードします。無料でさくっとスキャン出来るのは魅力的。定期的に実行すれば安心ですね♪ * =====================================================* APPSマグ * ◆編集・発行：便利アプリを紹介！APPマグ ◇配信停止・配信先の変更 http://●.net/●/ ◆Copyright(C) 2011-2012, APPSマグ ◇本メールマガジンの著作権はAPPSマグに帰属します。, 記事の無断転載は堅くお断りします

※

Androidの事例

メール本文内のリンクをタッチすると、

不正アプリサイトに飛ばされる！

Facebookの

某コミュニティに

投稿されていた、

不正アプリサイト

へのリンクを

含んだ投稿

(4)

SNSやメールで不正アプリサイトへ

誘導する事例（

2012年9月）

※

Androidの事例

似ているが、

公式マーケット

（

_{Google Play）}

ではナイ！！

ウェブブラウザ

の画面

(5)

SNSやメールで不正アプリサイトへ

誘導する事例（

2012年9月）

※

Androidの事例

インストール時、

「連絡先データを

読み取り」の許可

を求めてくる！

(6)

不正アプリの動き

電話帳を送信・・

(7)

(8)

日本語表示に対応した

Android版

ランサムウェア（

2016年3月）

”罰金”支払指示表示

日本語”身代金”要求メッセージ

(9)

Androidランサムウェアへの対処法

OSのバー

ジョンによ

り異なる

「セーフモード」で起動し、アプリを削除すれば解決

詳しくは愛知県警の資料参照：

https://www.pref.aichi.jp/police/anzen/cyber/1news/documents/capture_1.pdf

https://www.pref.aichi.jp/police/anzen/cyber/1news/documents/uninstall_1.pdf

(10)

管理が不十分、あるいは海賊版

などを扱っているマーケット

不正なアプリケーションを削除し

たり、事前審査を行うなど、管理

されているマーケット

ウイルスなどの不正

なアプリケーション

が混入しやすい

管理

マーケットＡ

マーケットＢ

マーケットへのウイルスアプリの混入

(11)

公式マーケットに存在した

不正アプリの実例（

2013年1月）

お色気ムンムン

の壁紙？！

**_(´∀｀)**

公式マーケット

（

_{Google Play）}

(12)

公式マーケットに存在した

不正アプリの実例（

2013年1月）

「壁紙」なのに

こんな権限は

必要ですか？

(13)

本当に壁紙アプリとして動くが・・・

この動作の裏で、スマホ内の情報が

外部に送信されている！！

(14)

アプリ悪用のお話

(15)

(16)

(17)

(18)

(19)

詐欺的手法の数々・・・

・甘い言葉でフィッシングサイトへ誘導

(20)

ウイルスを検出したと音声で警告

（

2015年8月の呼びかけ）

ウイルス感染は

困るから電話して

対応してもらおう…

遠隔操作サポートへの

電話を促される

電話をすると、ウイルス駆除のため

のソフトウェア購入を促される

音声による警告

(21)

ウイルス感染警告

_{→ｱﾌﾟﾘｲﾝｽﾄｰﾙ誘導}

※Android端末での例

かなり不自然

な日本語

(22)

(23)

クラウドに保存した情報が盗まれる！

①

iPhoneで写真を撮影する

②

iPhoneで撮影した写真がiCloud

に保存（アップロード）される

③

iCloudにログインすると他の端末

に写真データが送信される

iCloudに保存されていた被害者の写真

データを窃取（攻撃者の端末で受信）

攻撃者

スマホに紐付いたアカウント情報の管理が重要！

(24)

パスワードを教えてはいけません！！

スマホよく

わかんな～ぃ・・

このアプリ入れて

設定してあげる！

・セキュリティアプリ

・

ID、パスワード登録

・各種設定

今どこにいるかな・・・

このアプリ入れちゃおうかな・・・

以下の管理に注意！！

・

Googleアカウント

・

Apple ID

現在地を知られる！

遠隔でアプリを入れられる！

(^ω^;)

(25)

(26)

スマートフォンのセキュリティ対策

アンドロイド端末では、アプリをインストールする前に、アクセス許可を確認する。

セキュリティソフトを導入する。

スマートフォンを小さなパソコンと考え、パソコンと同様に管理する。

信頼できる場所からアプリケーション（アプリ）をインストールする。

スマートフォンにおける改造行為を行わない。

スマートフォンをアップデートする。

スマートフォンを安全に使用するための

_6か条

※詳細の解説については、以下のページを参照してください。

http://www.ipa.go.jp/security/txt/2011/08outline.html

(27)

対策：不正アプリに引っ掛からないために



「信頼出来るアプリマーケット」を選択する！



日本では、携帯電話会社が運営するマーケ

ットが安全です。（

_{Androidの場合）}



docomo： dマーケット



au： au Market



Softbank： Yahoo!スマホガイド

（旧

_{Yahoo!マーケット）}



AndroidでもiPhoneでも、公式以外の

マーケットは利用しないのが無難

(28)

対策：第三者に操作させないために



スマホを安易に他人に触らせない！



スマホを不用意に置きっぱなしにしない！



「画面ロック」をしましょう！



パスワード入力時は周囲の目に注意！



スマホに紐付いたアカウントのパスワードは

強いもの（長く・複雑・使い回さない）に！！

(29)

スマホ：画面ロックの落とし穴その

₁

Android

手の脂で、パターンを

(30)

スマホ：画面ロックの落とし穴その

₂

手の脂で、タッチ

した位置を読み

取られます！！

iPhone

4ケタ4数字だと、

24通りしかない

4ケタ

(31)

対策は・・・

6ケタ6数字なら、

720通り！！

iPhone

Android

可能な限り英数字

にしたいところ・・・

パスワードを

10回

間違ったら

iPhone

のデータを消去する

設定が有効

リスクを許容して

テンキーにする

なら、出来る限り

桁数を多く！！

(32)

（中略）

画面ロック



最低限

画面ロック

はしましょう

一歩進んだ設定

「画面ロック解除10回連続失敗時に

自動的に初期化」する設定もあります

i

iOS 9の場合

(33)

画面ロック



最低限

画面ロック

はしましょう

Android 4.x

での一例

(34)

https://www.ipa.go.jp/security/keihatsu/munekyun-pw/

(35)

「ｉパス」は、

_{ITを利活用する}

すべての社会人・学生

が備えておくべき

ITに関する基礎的な知識が証明できる国家試験です。

ITパスポート公式キャラクター

上峰亜衣（うえみねあい）

(36)

情報セキュリティマネジメント試験

IT利用者に必要な情報セキュリティの知識を体系的に習得

できる

新たな国家試験

試験の特徴

・IT利用者の情報セキュリティ対策に特化した

国家試験。

社会人として必要な情報セキュリティの知識を

体系的に習得できます。

試験時間・出題形式

時間

区分

試験

時間

出題形式

出題数

解答数

基準点

午前

90

分多肢選択式_{(四肢択一)}

50 ₅₀

問_問 _{(100点満点)}

60

点

午後

90

分多肢選択式

3 ₃

問_問 _{(100点満点)}

60

点

試験実施概要

・試験実施日

年2回実施（春期・秋期）

春期：4月第三日曜日

秋期：10月第三日曜日

受験を特にお勧めする方

・

インターネット・郵便にて受付

・業務部門・管理部門で情報管理を

担当する方

詳細はウェブページをご覧ください！

・業務で個人情報を取り扱う方

・身近な事例をベースにした実践的な出題。

28年春期午後問題では「標的型攻撃メール」、「業務委託にお

けるアクセス制御」、「情報セキュリティ自己点検」に関する

問題を出題。

(37)

セキュリティセンター（

_IPA/ISEC）

https://www.ipa.go.jp/security/

★情報セキュリティ安心相談窓口：

ＴＥＬ：０３（５９７８）７５０９

(平日10:00-12:00、13:30-17:00)

ＦＡＸ：０３（５９７８）７５１８

E-mail： anshin@ipa.go.jp

不正アプリのお話 ( 自分で入れちゃう話 ) 2

個人の身近に迫る情報セキュリティ脅威

～組織を守るために、まずは個々人の意識を高めよう～

2016年10月25日

独立行政法人情報処理推進機構

技術本部 セキュリティセンター

調査役 加賀谷 伸一郎

不正アプリのお話

SNSやメールで不正アプリサイトへ

誘導する事例（

2012年9月）

※

Androidの事例

メール本文内のリンクをタッチすると、

不正アプリサイトに飛ばされる！

Facebookの

某コミュニティに

投稿されていた、

不正アプリサイト

へのリンクを

含んだ投稿

SNSやメールで不正アプリサイトへ

誘導する事例（

2012年9月）

※

Androidの事例

似ているが、

公式マーケット

（

Google Play）

ではナイ！！

ウェブブラウザ

の画面

SNSやメールで不正アプリサイトへ

誘導する事例（

2012年9月）

※

Androidの事例

インストール時、

「連絡先データを

読み取り」の許可

を求めてくる！

不正アプリの動き

電話帳を送信・・

日本語表示に対応した

Android版

ランサムウェア（

2016年3月）

”罰金”支払指示表示

日本語”身代金”要求メッセージ

Androidランサムウェアへの対処法

OSのバー

ジョンによ

り異なる

「セーフモード」で起動し、アプリを削除すれば解決

詳しくは愛知県警の資料参照：

https://www.pref.aichi.jp/police/anzen/cyber/1news/documents/capture_1.pdf

https://www.pref.aichi.jp/police/anzen/cyber/1news/documents/uninstall_1.pdf

管理が不十分、あるいは海賊版

などを扱っているマーケット

不正なアプリケーションを削除し

たり、事前審査を行うなど、管理

されているマーケット

ウイルスなどの不正

なアプリケーション

が混入しやすい

管理

マーケットＡ

マーケットＢ

マーケットへのウイルスアプリの混入

公式マーケットに存在した

不正アプリの実例（

2013年1月）

お色気ムンムン

の壁紙？！

(*´∀｀*)

公式マーケット

（

Google Play）

公式マーケットに存在した

技術本部セキュリティセンター

調査役加賀谷伸一郎

_{Google Play）}

**_(´∀｀)**

_{Google Play）}

_{→ｱﾌﾟﾘｲﾝｽﾄｰﾙ誘導}

_6か条