モバイル犯罪は割に合わない

Androidをターゲットにしたマルウェアの作成は、犯罪者にとって実入りの良い商売になる可能性を持っています。SMSを送信するトロイの木馬やボットネットクライアントなど、マルウェアの作成さえ終えてしまえば、あとはのんびり待っていれば自動的にお金を回収することができます。しかしその一方で、あっという間に摘発され、一瞬でビジネスが終了してしまうこともあります。最近、Android/OneClickFraud(ユーザーを恐喝するマルウェア)およびAndroid/DougaLeaker(ユーザーのデータを盗んで攻撃者に送信するマルウェア)の犯人グループが、マルウェア対策と個人情報保護を目的とした日本の法律によって逮捕されました。

お金を払ったのに、アプリが動かない?

Android/OneClickFraudは、アダルトエンターテイメントアプリを装ったマルウェアです。アダルトコンテンツが見られると期待したユーザーが、このアプリをダウンロードすると、支払いを要求するメッセージが表示されます。5分ごとに「まだ支払いが済んでいない」というポップアップが表示されます。

「支払いが済んでいない」というメッセージを表示するAndroid/OneClickFraud

こんな詐欺に引っかかる人はまずいないだろうと誰もが思うことでしょう。とくに自分が支払い済ませた後であれば、なおさらのことです。しかし、実際には200人以上の被害者が、犯人グループに2,100万円(約26万5,000米ドル)という多額の金を支払っていたことが判明しています。これは、少人数の犯人グループにとっては、悪くない額です。しかし、日本の警察はついに犯人グループを特定し、マルウェアの開発者を含む6人を逮捕しました。

映画を見に行こう

マカフィーでは、以前にもAndroid/DougaLeakerに関するブログを出しています。このマルウェアは、「the Movie」というタイトルが付けられ、ビデオゲームやアダルト映画の予告編の視聴機能を謳ったものでした。これは、攻撃者たちによる非常に巧妙なソーシャルエンジニアリング戦術でした。予告編を見たいと思った被害者は、結局は連絡先情報を盗まれ、その情報は攻撃者のサーバーに送信されてしまいました。

人気ゲームやアダルト映画の予告編の提供を装うAndroid/DougaLeaker

このマルウェアは、連絡先情報を収集して、それを出会い系サイトの勧誘に利用することを目的としていたようです。バイラルマーケティングや、ユーザーに対してあなたのサイトを宣伝する電子メールを自主的に友人に送信してもらうように依頼するのは容認されており、違法ではありませんが、トロイの木馬を使用して連絡先リストを収集すると、法に触れ、刑罰の対象となります。

出会い系サイト運営会社の責任者がマルウェアの開発を外注していたというのは、興味深い事実です。合法的なモバイル開発の場合と同じように、自前でモバイル開発のスキルを持たない犯罪者も、やはり第三者に作成を依頼する例が増えています。これはサードパーティのモバイル開発業者にとってはビジネスの獲得になりますが、マルウェアを開発した業者も、委託した業者と同様の罰を受けることを知っておく必要があります。

明るいきざし

日本の警察が、モバイルマルウェアの犯人グループを追跡していると知って頼もしく思います。こうしたモバイル脅威の背後にいる犯罪者たちを特定して告訴する、警察の仕事ぶりは賞賛に値します。しかしこういったモバイルマルウェアが絶滅する日が来ることはなさそうです。いまだに大多数の新規マルウェアが、規制のないサードパーティのアプリマーケットやマルウェアのドライブ・バイ・ダウンロードを提供しているサーバーを経由して発生しています。犯罪者が、モバイルボットネットやユーザーに無断でアプリを購入できるマルウェアによって利益を手にしているうちは、この種の攻撃が下火になるまで、まだしばらく時間がかかるかもしれません。

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

 マカフィーでは、1,400人のIT担当者に年次アンケートを実施し、クラウド採用状況やセキュリティについて調査しました。
 調査の結果、クラウドの採用とリスク管理への投資を増やしている組織がある一方で、クラウドの採用に慎重なアプローチをしている組織が多いことがわかりました。
 本調査では、クラウドサービスの利用状況を分類し、短期投資の確認、変化速度の予測、重要なプライバシーおよびセキュリティ上の障害物への対応方法の概要を示しています。

 本レポートでは、クラウドの現状把握と今後の方向性、クラウド対応の課題やポイントを理解することができます。

<掲載内容>
■ 主要調査結果
■ 調査結果から言える方向性
■ 課題への対応
■ 変化への対応力
■ 考慮すべき点:安全なクラウドの採用で事業を加速