登録会員限定記事 現在はどなたでも閲覧可能です
偽サイトのデザインは本物そっくりだ。しかも佐川急便のWebサイトは常時TLS(トランスポート・レイヤー・セキュリティ)に対応していないため、この点でも偽サイトとの違いがない。また同社は現在、荷物の所在確認をWebサービスで提供しているが、今後アプリを使うようになっても不思議ではない。アプリをインストールさせるだけで危ないと判断するのは難しい。
ユーザーが採るべき対策は、「提供元不明アプリのインストールを許可しない」だ。今回の攻撃は、偽サイトから「xxxx.apk」というAndroid向けのインストールファイルをダウンロードさせて、このファイルからインストールさせるようになっている。Androidの公式サイト(Google Play)以外からアプリをインストールさせるapkファイルを「野良アプリ」と呼ぶ場合がある。不正アプリの多くは、野良アプリで配布される。そこでAndroidのセキュリティ設定では標準で、野良アプリをインストールできないように、提供元不明アプリのインストールを許可する設定がオフになっている。
Android向け不正アプリ対策で最も重要なものの一つ。設定画面の「セキュリティ」から「提供元不明のアプリ」のチェックボックスをオフにする。スマホやAndroidのバージョンによって、画面情報が異なる場合がある
[画像のクリックで拡大表示]
ユーザーはこの設定がオフになっているかを確認し、もしオンになっていればオフに変更しておけば、今回の不正アプリはインストールされない。佐川急便の偽サイトにある不正アプリのマニュアルでは、この設定をオンに変えてからインストールするよう促しているので、引っ掛からないように注意する必要がある。
