2020年9月、アバストはGoogle Play Storeと Apple App Store の両方で調査を行い、合計7つの詐欺アプリを発見したと発表しました。この調査は、チェコに住む12歳の少女による通報をきっかけに始まりました。彼女がTikTokを閲覧していたところ、不審な人気アプリがTikTokで配信されていたため、そのことをアバストに通報したのです。少女が怪しいと思ったアプリはアドウェアで、240万回以上ダウンロードされ、その作成者は約50万米ドルを稼いだと報告されています。
アバストは、TikTok上で積極的に詐欺アプリを宣伝しているアカウントを3つ発見しました。そのうちの1つは、30万人以上のフォロワーを持つアカウントで、また、5千人以上のフォロワーを持つInstagramのアカウントが、詐欺アプリを宣伝していたことも明らかになっています。アバストは該当の詐欺アプリをAppleとGoogleに、そして詐欺アプリの宣伝を行っていたアカウントを、TikTokとInstagramに報告しました。
詐欺アプリを報告した少女は、アバストがチェコで展開している Be Safe Onlineプロジェクトの参加メンバーで、このプログラムで学んだスキルを活かすことで、詐欺アプリを特定し、アバストに報告したのです。
少女から報告を受けたことについて、アバストのコミュニケーション・ディレクターであるホイットニー・グロックナー・ブラック(Whitney Glockner Black)は、次のように延べています。「今回の件は、アバストのBe Safe Onlineプロジェクトのような教育プログラムの成果と言えます。Be Safe Onlineでスキルを身に着けたことで、子どもたちはオンライン上の悪事を見抜き、アバストに報告できたのです。」
今回発見された詐欺アプリは特に若者や子どもをターゲットにしており、ゲームアプリや、壁紙アプリ、または音楽をダウンロードできるアプリなど、様々な形態をとっています。
それらの詐欺アプリは、スマホで使える簡単な機能や壁紙に対して、サービスに見合わない価格を請求したり、執拗に広告を表示したりします。中には、一見合法的でありながら、詐欺アプリ以外のソフトウェアでも広告を表示するトロイの木馬のようなアプリも存在しています。こうしたトロイの木馬は、アプリ内の仕組みを隠す機能が仕掛けられているため、ユーザーが広告の運営元を特定することは困難です。
アバストの脅威アナリストであるヤクブ・バーブラ(Jakub Vávra)は、次のように述べています。「私たちが発見したのは明らかに詐欺アプリであり、実際の機能をごまかしたり、アプリ外でも広告を表示したり、インストール後にアプリのアイコンを隠したりするなど、GoogleとAppleのアプリポリシーに違反する行為が見られています。子供たちは、詐欺アプリの兆候を見落としてしまうこともあります。そのため、子供に人気のSNSで、こうしたアプリが宣伝されていることは危惧されています。」
では、どのように詐欺アプリから身を守れば良いのでしょうか。子供も大人も実践できるヒントを、いくつかご紹介します。
アプリのレビューをしっかり読みましょう
詐欺アプリをインストールしたユーザーが、アプリのレビュー欄にネガティブなコメントを記入していることがあります。そのため、アプリをダウンロードする前にレビューをざっと確認して、被害を受けたユーザーのコメントがないか見てみましょう。
アバストのヤクブ・バーブラによると、詐欺アプリの開発者はダウンロード数やレビュー数が非常に少ないアプリを多く展開しており、そうしたアプリには少数ながら非常にポジティブで熱狂的なレビューが書き込まれている場合が多いといいます。アプリを少数の人だけが高く評価するようなレビューコメントが見られた場合は、注意しましょう。
妥当な価格か、考えましょう
アプリにお金を払う前に、何の対価としてお金を払っているのか、自問自答してみましょう。相場からかけ離れた価格で提供しているサービスは、詐欺アプリの兆候です。
バーブラは次のように述べています。「詐欺アプリの多くは、簡単な機能を非常識な価格で販売しています。例えば、電気ショックでロシアンルーレットのような遊びができるゲーム、または約8米ドルで壁紙を販売するアプリなど、 他の開発者が無料で提供している内容を高値で売りつけているのです」
アクセス許可を確認しましょう
アプリは正常に機能するために、様々な許可を必要とします。例えば、Googleマップで目的地への行き方を見るには、位置情報へのアクセス許可が必要です。しかし詐欺アプリは、本来必要としない情報へのアクセス許可まで求めてきます。そうした必要ないアクセスの要求は、GoogleとApple両方の規約に反しているものの、抜け穴を利用するアプリが存在するのです。
例えば、Android用の壁紙アプリ『ThemeZone - Shawky App™』は、写真や動画などを含む、デバイスの外部ストレージへのアクセス許可を要求してきます。こうした外部ストレージへのアクセスは、壁紙アプリには必要ありません。
新しいアプリが特定の許可を要求してきたら、「許可」をタップする前に、そのアクセスが本当に必要か考えるようにしましょう。天気予報アプリがあなたのマイクにアクセスする必要はありますか?壁紙アプリが、ストレージにアクセスする必要はありますか?どちらの場合においても、アクセスを許可する必要はありません。関連性のない情報にアクセスを求めるアプリは、詐欺アプリである可能性が高いのです。
ダウンロードのリスクについて、把握しましょう
詐欺アプリからお子様を守るうえで最も重要なのは、アプリをダウンロードするリスクについて、お子様と話をすることです。詐欺アプリの兆候についてご自身が把握し、その後、お子様に情報共有をしましょう。詐欺を避けるだけでなく、不要な出費を避けるためにも、「何かをダウンロードする前は、保護者の許可を得る」というルールを設けることを検討してみてもいいかもしれません。
サイバー犯罪者に対抗するためには、子どもから大人まで、全世代が協力することが大切です。セキュリティに関する知識を吸収し、日々注意をしながら、不審なものを見かけたら警察や専門機関に報告しましょう。
この記事は2020年9月22日に公開されたiOS and Android scam apps spreading via TikTokの抄訳です。
