野生の偽 “Pokémon GO” があらわれた!

Pokémon GOは、スマートフォンの位置情報やカメラ機能を使い、実世界とリンクした拡張現実の世界でポケモンを “ゲット” して遊ぶことができる、今とても注目を集めている新しいモバイルゲームです。このゲームは、7月6日にApple App StoreやGoogle Playストアといった公式マーケットから地域限定(オーストラリアやニュージーランド、1日遅れで米国)で公開されました。このアプリの開発者は、その他の地域でもすぐに遊べるようになるだろうとコメントしていますが、多くのポケモンファンは公式リリースまで待ちきれず、いち早くこのゲームで遊びたい一心で、セキュリティリスクがある非公式のサイトでこのゲームアプリを探し求めています。

このような状況を考慮すると、このゲームアプリを模倣したマルウェアが発見されるのも時間の問題でした。私たちインテル セキュリティのモバイルマルウェアリサーチチームは、このゲームアプリが地域限定で公開された翌日、正規アプリに悪意あるコードが仕込まれた偽の “Pokémon GO” のマルウェアを発見しました。そのマルウェアのファイル名には、ファイル共有サイト “apkmirror.com” で二次配布されていた正規アプリと類似した名称がつけられていたことから、別のサイト等で配布されていたものと推測しています。

このマルウェアを最新のAndroidデバイスにインストールするとき、公式アプリと同様に特別なアクセス権限は要求されません。

Image1

しかしながら、このマルウェアの起動時に、SMSメッセージの送信や閲覧といったゲームとは関係のないアクセス権限が要求されます。

Image2

これは実行時に権限を要求するランタイムパーミッションをサポートするAndroid 6.0以降の端末での動作であり、それより古い端末ではインストール時にアクセス権限が要求されます。ユーザーがインストール時または実行時にすべてのアクセス権限を許可することによってゲームを開始することができますが、このマルウェアの場合、ネットワーク状態の変化やデバイス起動時に、悪質なサービス “Controller” がバックグラウンドで動作するようになっています。

Image3

この悪質なサービスは、DroidJack (別名:SandroRAT) という遠隔操作ツールによって正規アプリに埋め込まれたものです。DroidJackは2014年頃から長期にわたり有償($210)で販売されていたツールで、特に目新しいものではありません。その利用規約には犯罪への加担や法律に違反することに対する使用を禁止する記載がありますが、2014年8月に発見されたポーランドの銀行ユーザを狙ったマルウェアではこのツールが悪用されていました。おそらく、この事件をきっかけとして、2015年10月にヨーロッパ諸国と米国の国際警察によって、このツールの使用者に対する家宅捜索や逮捕が行われましたが(英文記事)、私たちが今回発見したマルウェアで使われていたように、この遠隔操作ツールは今もなお悪用され続けているのです。

DroidJackは、感染した端末上であらゆるスパイ活動を行うことができます。具体的には、SMSメッセージ・通話履歴・電話帳・ブラウザ閲覧履歴・位置情報やインストールアプリの一覧といったユーザー情報を盗むことから、写真撮影・ビデオ録画・通話録音やSMS送信といった任意のコマンドをリモートから実行するといったことまでできるのです。このマルウェアの場合、トルコにあるサーバーと通信が行われており、アプリの起動情報が定期的に通知されていました。

Image4

さらに、デバイスのスリープ状態に関する端末情報もまた外部サーバーに通知されています。こういった情報は、たとえば、ユーザーに気づかれないようにブラウザで特定のリンクを開くために使われます。

Image5

人気アプリになりすましユーザを騙す行為は、マルウェアをインストールさせるための常套手段です。公式マーケットであっても100%安全と言い切れませんが、非公式なサイト(特にファイル共有サイト)と比較するとマルウェアへの感染リスクは非常に低くなります。仮に評判の良いサイトであったしても、このような理由から、あなたの地域で公式アプリが利用できるようになるまで、もうしばらく待つようにしてください。

マカフィーモバイルセキュリティは、この脅威を Android/SandroRAT として検出し、ユーザに通知するとともに、ユーザ端末を保護します。マカフィーモバイルセキュリティの詳細については http://www.mcafeemobilesecurity.com をご確認ください。

※本ページの内容は McAfee Blog の抄訳です。

原文: Trojanized Pokémon GO Android App Found in the Wild
著者: Carlos Castillo

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

 マカフィーでは、1,400人のIT担当者に年次アンケートを実施し、クラウド採用状況やセキュリティについて調査しました。
 調査の結果、クラウドの採用とリスク管理への投資を増やしている組織がある一方で、クラウドの採用に慎重なアプローチをしている組織が多いことがわかりました。
 本調査では、クラウドサービスの利用状況を分類し、短期投資の確認、変化速度の予測、重要なプライバシーおよびセキュリティ上の障害物への対応方法の概要を示しています。

 本レポートでは、クラウドの現状把握と今後の方向性、クラウド対応の課題やポイントを理解することができます。

<掲載内容>
■ 主要調査結果
■ 調査結果から言える方向性
■ 課題への対応
■ 変化への対応力
■ 考慮すべき点:安全なクラウドの採用で事業を加速