LINEからのデータを搾取するモバイルマルウェアを日本で発見

AndroRATInternがAndroidのループホールを悪用して個人情報を入手、商品としても公然と販売

モバイルセキュリティ分野で最先端を行くLookout, Inc.(本社:米国カリフォルニア州、CEO:ジム・ドルチェ、日本法人:ルックアウト・ジャパン株式会社、執行役社長:大須賀雅憲)は、新たなモバイル脅威を発見しました。この脅威は標的となる端末を徹底的な監視下に置くことで、日本で最も利用されているメッセージングアプリLINEからデータを搾取することを目的に設計されています。

この脅威はAndroRATInternと呼ばれる巧妙化された監視ウェアの一片で、無料で入手できるAndroRATマルウェアツールキットを使用して開発されており、日本市場のAndroidスマートフォンを標的としています。特筆すべきはAndroRATInternがAndroidのユーザー補助機能(テキスト読み上げ機能を有効化するためによく使用される)を悪用し、ユーザーがメッセージを開いたときに感染端末のLINEアプリからメッセージデータを読み取るというものです。

ユーザー補助機能は正規のAndroid機能であり、一般的には身体の不自由なユーザーや、端末に利用しづらい機能があるユーザーに端末操作の代替手段を提供し、端末使用をサポートするものです。ユーザー補助機能によって例えば、テキスト読み上げ機能が有効化されると、視覚の不自由な方のために端末画面に現れる文字が読み上げられます。

通常は明示的なユーザーパーミッションがなければ、アプリによる他アプリからデータの取り出しはAndroidアプリケーション・サンドボックスによって阻止されるのですが、AndroRATInternはこのAndroid機能を悪用することでこれを迂回してしまいます。

モバイル脅威がこのような方法でAndroidのユーザー補助機能を悪用しデータ入手するのを検出したのは今回が初めてです。誤解のないように書きますがこの攻撃手法はどのアプリの場合でも有効であったと思われます。従ってこのシナリオにおいてLINEアプリケーションが他と比較して脆弱性があるわけでも、データに不正アクセスされるような欠陥があるわけでもありません。

ユーザー補助機能によってアクセスできるのは、その時点で端末に表示されるデータのみで、LINE が利用されていない時にはAndroRATInternによるデータ収集は不可能であり、またアーカイブ化したメッセージにアクセスすることもできません(ユーザーがメッセージを開いた場合を除く)。

AndroRATInternは 「AndroidAnalyzer(Androidアナライザー)」という名で監視ツールとして市販されています。標的とする端末に物理的にアクセスできる攻撃者が直接インストールしなければならず、ドライブバイダウンロード型のキャンペーンでは配布できません。

AndroRATInternのインストール後、ユーザーのホーム画面にそのアイコンが表示されることはなく、遠隔コマンドを受信するまでバックグラウンドで気付かれないように待機します。このことから、製品のウェブページには端

末の持ち主の事前了解について警告が記載されているものの、このソフトウェアは同意を得ずに使用されることを想定していると思われます。

「AndroidAnalyzer」は複数の価格帯で販売されています。うち高価格製品は、複数の端末を追跡でき画像や動画など他の種類のデータも入手が可能です。

幸いにもAndroRATInternに端末が感染するリスクは感染方法から考えて限定的と思われます。まず初めに一定の端末設定が有効化されていることが前提となるため、完全なインストールには攻撃者が検知されずに 物理的に標的の端末にアクセスできることが必要となるからです。LookoutによるAndroRATInternの検出数はそう多くはなく、現在は日本に限られていますが、それでもこのモバイル脅威は個人にも企業にも深刻なセキュリティリスクとなるでしょう。企業データが標的となったり、もしくは結果的に被害を受ける可能性は、このソフトウェアを個人がこっそりと第三者の仕事用端末にインストールしたとき、そして偶然にもその人物が企業の幹部やCEOだった場合などに起きると考えられます。

ルックアウト・ジャパン株式会社の大須賀雅憲執行役社長は次のように述べています。「AndroRATInternによるAndroidのユーザー補助機能の悪用は個人のみならず、企業におけるモバイル端末セキュリティも関わる厄介な問題を投げかけています。コンテナ化のようなデータ保護ソリューションは、これが依存するオペレーティングシステムだけに安全対策が施されます。AndroRATInternのように、オペレーティングシステムにあるループホールを悪用した攻撃が起きれば、通常は保護されるはずのデータが侵害される恐れもあります。今回の悪用に鑑みて、データ保護をOSに依存したセキュリティ対策だけに頼るのは十分ではないのかもしれません。」どんなモバイル端末もLookoutがインストールしてあれば、この脅威から保護されます。詳しい情報や技術的詳細につきましては、以下のリンクからAndroRATInter報告書をダウンロードの上、ご覧ください:https://www.lookout.com/jp/resources/reports/androratintern

Lookoutについて

Lookoutはモバイル攻撃が個人や企業に損害を与える前に予知・防止するサイバーセキュリティ企業です。Lookoutのクラウドベースの技術は7,000万台以上のモバイル端末からなるグローバル規模のセンサーネットワークと毎日発行される何万件ものアプリによって支えられています。事実上世界中すべてのモバイルコードを網羅するデータベースと予測的人工知能を利用してデータを解析・解明し、これがなければ見過ごしてしまうはずのつながりをLookoutが識別し、モバイル端末を攻撃するサイバー犯罪を阻止します。AT&T、Deutsche Telekom、EE、KDDI、Orange、Sprint、T-Mobile、Telstraなど世界の先端的モバイルネットワーク企業がLookoutをモバイルセキュリティソリューションとして推奨しています。サンフランシスコを本拠地として、ボストン、ロンドン、シンガポール、東京、トロント、ワシントンD.Cに支社を展開しています。詳細は www.lookout.com/jpをご覧ください。

Lookoutの詳細についてはwww.lookout.com/jpでご覧いただけます。LookoutモバイルセキュリティはGoogle PlayまたはApple App Storeでダウンロードが可能です。

あなたは、ロゴ、写真、ビデオをお探しですか?

プレスキット