特になにかしているわけでもないのに、スマートフォンの動作が不自然に重い――。もしかすると、その端末はユーザーの預かり知らぬところで、ハッカーによって仮想通貨の発掘をさせられているかも知れません。
あの手この手でフィッシング詐欺
もともと仮想通貨は高い匿名性からハッカーに好まれる性質を有していましたが、最近はバブルを指摘されるほどに急激な価格上昇を遂げたこともあり、あの手この手で他のユーザーから大金をせしめようという人々が跡を絶ちません。
例えば、スマートフォン向けアプリに限っても、偽のウォレットコードを表示して入金させる単純なものから、フェイクレビューを大量に投稿して真っ当なウォレットアプリに見せかけたもの、ユーザーのデスクトップPC内に通貨を移動させる(デスクトップウォレット)機能に見せかけて通貨を盗み出すものなど、様々な詐欺が試みられています。
虫を退治するだけのアプリに見えるが
さらに今回、セキュリティ企業ESETが発見したのは、ゲームに見せかけて仮想通貨の発掘を手伝わせるというアプリです。
「Bug Smasher」と名付けられたこのAndroidアプリは、一見すると画面内に次々と出現する虫を退治するという無害な内容ですが、実際にはバックグラウンドで仮想通貨の1つである「Monero」を発掘するプログラムを走らせるというものでした。
すでに同アプリはGoogle Playストアから削除されていますが、2011年11月から2018年1月までに100万〜500万回のダウンロードがあったことが分かっています(リリース当初からマイニング機能が搭載されていたわけではないと考えられています)。
また、「Monero Miner (XMR)」というマイニングアプリに至っては、ユーザー本人ではなくアプリ開発者のためにマイニングさせていました(現在は削除済)。
クリプトジャッキングからの対策方法は
このようなタイプの攻撃は「クリプトジャッキング」と呼ばれています。
健全な内容に見せかけてクリプトジャッキングを行うアプリは、App Storeよりも審査がゆるいとされるGoogle Playで多く見られるとされており、セキュリティ企業Kasperskyの研究者も「マイニングプログラムに関連付けられたトロイの木馬が隠されたアプリが、この12カ月で急増している」と警鐘を鳴らしています。
対策方法として専門家は「アプリにマルウェアが潜んでいるかを見分けるのは難しい」としながらも、以下を推奨しています。
- セキュリティ確保のために、OSやアプリを最新バージョンにアップデートしておく
- インストールするアプリは公式のプラットフォーム(App StoreかGoogle Play)のみに留める
- 知らないソースからのアプリをインストールするのは避ける
- ダウンロード数やレビューを参考にし、ダウンロードするアプリが問題ないものか確認する
- アプリに不要な許可を与えない(Android端末では許可の範囲を細かく設定できる)
また、ウイルス対策アプリを定期的に起動させるのも一つの手でしょう。
Source:ESET(pdf),Business Insider,Phone Arena
(kihachi)