2016年08月12日
「Pokemon Go」大ヒットの裏で急増する無料ポケコイン詐欺とチートツール
「Pokemon Go」大ヒットの裏で急増する無料ポケコイン詐欺とチートツール
@DIME 8月6日(土)16時57分配信
「Pokemon Go」大ヒットの裏で急増する無料ポケコイン詐欺とチートツール
『Pokemon Go』に偽装してトロイの木馬を仕込んだアプリが、非公式のチャネルに登場
ゲーム『Pokemon Go』が、全世界で大きい関心を集めている。まだ一部の地域でしかリリースされていないにもかかわらず、1週間足らずで数百万回のインストールを記録した。7月8日の時点で、米国内のAndroidデバイスにおける『Pokemon Go』のインストール数は、出会い系アプリ「Tinder」の2倍となり、1日あたりのアクティブユーザー数はTwitterに迫っている。
サイバー犯罪者も、すかさずこの人気に便乗し、ソーシャルメディア詐欺の手口を編み出したり、トロイの木馬を仕込んだアプリで『Pokemon Go』プレーヤーの隙を狙ったりし始めた。GPS位置情報を偽装するなど、『Pokemon Go』でいんちき(チート)を行なう手段を考え出したユーザーもいる。
その一方では公式アプリも、要求する許可に関連するプライバシーの問題をめぐって物議をかもしている。こうした報告を受けて、シマンテックは『Pokemon Go』に関するセキュリティ問題を調べ、デバイスを保護する方法を確認した。
■無料ポケコイン詐欺
『Pokemon Go』にはゲーム内課金があり、ユーザーは実際のお金を使って「ポケコイン」と呼ばれる仮想通貨を購入することができる。ポケコインは、ポケモンをおびき寄せる「おこう」(香料)や、レアなポケモンが生まれるタマゴなどのアイテムを入手するときに使う。このシステムをすり抜けるために、無料または格安のポケコインをオンラインで探そうというユーザーも現れたそうだ。
残念ながら、そんなシナリオも詐欺師の想定範囲だった。“Pokemon Go free coins generator“を検索してみると、古典的なアンケート詐欺ページへのリンクが見つかる。このリンクは、ゲーミングフォーラムから、専用の詐欺サイトまで、インターネット上で広く出回っている。不正な検索結果のほとんどは、ソーシャルメディアサイトの投稿か、ポケコインのハッキングツールが使えた実例と称する動画だ。
詐欺サイトに進んだユーザーは、『Pokemon Go』でのユーザー名と、希望するコインの枚数をたずねられる。今のところ、『Pokemon Go』で使っているパスワードまで要求されるケースは確認されていない。なかには、禁止行為の解除が保証されるといった追加機能を謳う詐欺もあるが、実際には動画が再生されてから、「人間であることの確認」に進むだけ。
この検証プロセスでは、アンケートに回答してアプリケーションをインストールするか、サービスに登録するよう求められる。その指示に従っても、無料でポケコインが手に入るわけではない。ユーザーが参加したことで、詐欺師がアフィリエイトプログラムの報酬を得るだけ。この詐欺の短縮URLについての統計によると、数千人のユーザーがリンクをクリックしている。
無料のポケコインを受け取るには、「TwitterやFacebookでメッセージを打ち込んで共有してください」、と指示する詐欺もある。もちろん、そんなメッセージを何度拡散したところで、ポケコインが手に入ることは決してない。異なるURLでソーシャルメディアサイトに投稿されたメッセージが、数百件も見つかった。シマンテックの2016年版『インターネットセキュリティ脅威レポート』によると、同じように「人の手による共有」を求める詐欺は、2015年のソーシャルメディア詐欺のうち76%を占めていた。
■『Pokemon Go』に偽装してトロイの木馬を仕込んだアプリが、非公式のチャネルに登場
『Pokemon Go』は、まだほとんどの地域で公式にはリリースされていない。現時点で利用できるのは、米国、オーストラリア、ニュージーランドだけ。限定的なリリースということでよけいに、AndroidデバイスやジェイルブレイクしたiPhoneのユーザーは、非公式のサイトからアプリをダウンロードするようになっている。攻撃者は、そうした需要を狙い、Androidデバイスを標的にしてトロイの木馬を仕込んだアプリを作成。
すでに報じられているとおり、マルウェアの作成者はリモートアクセス型のトロイの木馬(Android.Sandorat)を『Pokemon Go』に偽装し、各種のダウンロードサイトやゲーミングフォーラムで拡散していた。偽装したマルウェアをインストールすると、『Pokemon Go』のスタート画面が表示されるので、ユーザーは何か異常があるとは気づかない。しかしその裏では、攻撃者がデバイスのアクセス権を完全に掌握してしまう。
■『Pokemon Go』チートツール
悪質な活動とは別に、外を歩き回ることなくポケモンを捕まえたりタマゴからかえしたりできるように、いんちき(チート)をしたがるプレーヤーも現れている。なかには、クリエイティブないんちきを思いついたユーザーもいる。たとえば、おもちゃの列車、天井扇風機、飼い犬、ドローンなどにモバイルデバイスを取り付けて、ユーザー自身が動き回っているように判断させるという方法。GPSの位置情報を偽装するケースもあり。
これは、ルート権限を取得したAndroidデバイスか、ジェイルブレイクしたiPhoneにインストールできる既存のアプリで実行できる。偽装した位置情報を『Pokemon Go』に与えれば、ユーザーの現在地を任意に変えられる。そこにレアなポケモンがいるというわけだ。
同様の手口は、拡張現実(AR)を使ったゲーム「Ingress」のプレーヤーも使っていた。Ingressは、『Pokemon Go』と同じNiantic社によって3年前に開発されたゲーム。同社は、『Pokemon Go』でも同じことが起こると予測しており、GPSを不正に利用したプレイヤーに対して1時間のプレイ停止を課すと発表している。GPS偽装ツールを装ったマルウェアはまだ確認されていないが、『Pokemon Go』のユーザーベースが増えれば現れてくる可能性もありそうだ。
『Pokemon Go』で可能なチートは、ほかにもある。『Pokemon Go』のアプリは現在、証明書ピンニングをサポートしていない。つまり、このゲームはサーバー証明書が信頼できるかどうかはチェックするが、正しいオリジナルの証明書かどうかまではチェックしないということだ。
そうすると、ユーザーは信頼できる証明書を独自に作成してデバイスにインストールし、単純な中間者(MITM)プロキシを使って通信を傍受することができる。この方法では、リモートのデバイスに対して攻撃を仕掛けることはできないが、『Pokemon Go』のバックエンドAPIに存在する脆弱性を見つけることは可能。そのため、ユーザーがアイテムを増やす要求を自動化したり書き換えたりできる可能性もある。
■許可とプライバシー
Niantic社は、セキュリティ上の疑問を突きつけられている。Googleアカウントへのフルアクセスなど、要求される許可が多すぎることにユーザーが気づいたためだ。同社は、基本的なアカウント情報にしかアクセスしていないと説明しながらも、要求する許可を少なくしたアップデート版を公開した。アップデート後も、ロケーションプロファイルや移動パターンなど、『Pokemon Go』で生成されるデータは少なくないが、この点はゲームのプライバシーポリシーで説明されている。
収集されるデータは、『Pokemon Go Plus』を使うとさらに増える可能性もある。『Pokemon Go Plus』は、モバイルデバイスに接続して『Pokemon Go』と併用するBluetooth Low Energy(LE)仕様のウェアラブルデバイスだ。追跡機能をもつウェアラブルのリスクについては、以前のブログで論じたことがある。このときの調査で、Bluetooth LEデバイスは位置追跡が可能であり、データ漏えいの危険もあると判明した。『Pokemon Go Plus』はまだ発売前なので、このデバイスにも同じような問題があるのかどうかは、まだ判断できない。
■現実の世界で安全性を保つ
『Pokemon Go』のいちばん素晴らしい点は、人々が屋外に出て新鮮な空気を吸い、身体を動かすようになることだ。しかし、歩きスマホが原因でケガをするとか、ポケモンが出現する場所にプレイヤーを誘い出して窃盗行為に及ぶといった問題もすでに報告されている。アプリでは、プレイするとき周囲に注意を払うよう勧告されている。また、ゲームに夢中になって、町なかを外れた寂しい場所や暗い場所にひとりで行くのも避けよう。
ポケモンは、次のように述べている。
「Pokemon GOをプレイするときは、周囲に注意し、初めての不慣れな場所には友だちと一緒に行くようにしましょう。常に安全を心がけることをお忘れなく」
■対処方法
モバイルのセキュリティ問題に関しては、攻撃を受けるリスクを減らすために、以下の推奨事項に従ったほうがいい。
・非公式のマーケットプレイスからは『Pokemon Go』をダウンロードしない。攻撃者は、正規のゲームに偽装したマルウェアを拡散するために非公式のサイトを利用している。
・Googleアカウントへのフルアクセスを要求しなくなるアップデート版をインストールする。
・ゲームのチートツールは使わない。詐欺の場合や、マルウェアを含んでいる場合がある。
・脆弱性を悪用されないように、スマートフォンのファームウェアを最新に保つ。
・『Pokemon Go』のアカウントには強力なパスワードを使い、他のサイトと兼用しない。
・アプリが要求する許可の種類に注意する。
・デバイスとデータを保護するために適切なモバイル用セキュリティアプリをインストールする。
文/編集部
@DIME編集部
@DIME 8月6日(土)16時57分配信
「Pokemon Go」大ヒットの裏で急増する無料ポケコイン詐欺とチートツール
『Pokemon Go』に偽装してトロイの木馬を仕込んだアプリが、非公式のチャネルに登場
ゲーム『Pokemon Go』が、全世界で大きい関心を集めている。まだ一部の地域でしかリリースされていないにもかかわらず、1週間足らずで数百万回のインストールを記録した。7月8日の時点で、米国内のAndroidデバイスにおける『Pokemon Go』のインストール数は、出会い系アプリ「Tinder」の2倍となり、1日あたりのアクティブユーザー数はTwitterに迫っている。
サイバー犯罪者も、すかさずこの人気に便乗し、ソーシャルメディア詐欺の手口を編み出したり、トロイの木馬を仕込んだアプリで『Pokemon Go』プレーヤーの隙を狙ったりし始めた。GPS位置情報を偽装するなど、『Pokemon Go』でいんちき(チート)を行なう手段を考え出したユーザーもいる。
その一方では公式アプリも、要求する許可に関連するプライバシーの問題をめぐって物議をかもしている。こうした報告を受けて、シマンテックは『Pokemon Go』に関するセキュリティ問題を調べ、デバイスを保護する方法を確認した。
■無料ポケコイン詐欺
『Pokemon Go』にはゲーム内課金があり、ユーザーは実際のお金を使って「ポケコイン」と呼ばれる仮想通貨を購入することができる。ポケコインは、ポケモンをおびき寄せる「おこう」(香料)や、レアなポケモンが生まれるタマゴなどのアイテムを入手するときに使う。このシステムをすり抜けるために、無料または格安のポケコインをオンラインで探そうというユーザーも現れたそうだ。
残念ながら、そんなシナリオも詐欺師の想定範囲だった。“Pokemon Go free coins generator“を検索してみると、古典的なアンケート詐欺ページへのリンクが見つかる。このリンクは、ゲーミングフォーラムから、専用の詐欺サイトまで、インターネット上で広く出回っている。不正な検索結果のほとんどは、ソーシャルメディアサイトの投稿か、ポケコインのハッキングツールが使えた実例と称する動画だ。
詐欺サイトに進んだユーザーは、『Pokemon Go』でのユーザー名と、希望するコインの枚数をたずねられる。今のところ、『Pokemon Go』で使っているパスワードまで要求されるケースは確認されていない。なかには、禁止行為の解除が保証されるといった追加機能を謳う詐欺もあるが、実際には動画が再生されてから、「人間であることの確認」に進むだけ。
この検証プロセスでは、アンケートに回答してアプリケーションをインストールするか、サービスに登録するよう求められる。その指示に従っても、無料でポケコインが手に入るわけではない。ユーザーが参加したことで、詐欺師がアフィリエイトプログラムの報酬を得るだけ。この詐欺の短縮URLについての統計によると、数千人のユーザーがリンクをクリックしている。
無料のポケコインを受け取るには、「TwitterやFacebookでメッセージを打ち込んで共有してください」、と指示する詐欺もある。もちろん、そんなメッセージを何度拡散したところで、ポケコインが手に入ることは決してない。異なるURLでソーシャルメディアサイトに投稿されたメッセージが、数百件も見つかった。シマンテックの2016年版『インターネットセキュリティ脅威レポート』によると、同じように「人の手による共有」を求める詐欺は、2015年のソーシャルメディア詐欺のうち76%を占めていた。
■『Pokemon Go』に偽装してトロイの木馬を仕込んだアプリが、非公式のチャネルに登場
『Pokemon Go』は、まだほとんどの地域で公式にはリリースされていない。現時点で利用できるのは、米国、オーストラリア、ニュージーランドだけ。限定的なリリースということでよけいに、AndroidデバイスやジェイルブレイクしたiPhoneのユーザーは、非公式のサイトからアプリをダウンロードするようになっている。攻撃者は、そうした需要を狙い、Androidデバイスを標的にしてトロイの木馬を仕込んだアプリを作成。
すでに報じられているとおり、マルウェアの作成者はリモートアクセス型のトロイの木馬(Android.Sandorat)を『Pokemon Go』に偽装し、各種のダウンロードサイトやゲーミングフォーラムで拡散していた。偽装したマルウェアをインストールすると、『Pokemon Go』のスタート画面が表示されるので、ユーザーは何か異常があるとは気づかない。しかしその裏では、攻撃者がデバイスのアクセス権を完全に掌握してしまう。
■『Pokemon Go』チートツール
悪質な活動とは別に、外を歩き回ることなくポケモンを捕まえたりタマゴからかえしたりできるように、いんちき(チート)をしたがるプレーヤーも現れている。なかには、クリエイティブないんちきを思いついたユーザーもいる。たとえば、おもちゃの列車、天井扇風機、飼い犬、ドローンなどにモバイルデバイスを取り付けて、ユーザー自身が動き回っているように判断させるという方法。GPSの位置情報を偽装するケースもあり。
これは、ルート権限を取得したAndroidデバイスか、ジェイルブレイクしたiPhoneにインストールできる既存のアプリで実行できる。偽装した位置情報を『Pokemon Go』に与えれば、ユーザーの現在地を任意に変えられる。そこにレアなポケモンがいるというわけだ。
同様の手口は、拡張現実(AR)を使ったゲーム「Ingress」のプレーヤーも使っていた。Ingressは、『Pokemon Go』と同じNiantic社によって3年前に開発されたゲーム。同社は、『Pokemon Go』でも同じことが起こると予測しており、GPSを不正に利用したプレイヤーに対して1時間のプレイ停止を課すと発表している。GPS偽装ツールを装ったマルウェアはまだ確認されていないが、『Pokemon Go』のユーザーベースが増えれば現れてくる可能性もありそうだ。
『Pokemon Go』で可能なチートは、ほかにもある。『Pokemon Go』のアプリは現在、証明書ピンニングをサポートしていない。つまり、このゲームはサーバー証明書が信頼できるかどうかはチェックするが、正しいオリジナルの証明書かどうかまではチェックしないということだ。
そうすると、ユーザーは信頼できる証明書を独自に作成してデバイスにインストールし、単純な中間者(MITM)プロキシを使って通信を傍受することができる。この方法では、リモートのデバイスに対して攻撃を仕掛けることはできないが、『Pokemon Go』のバックエンドAPIに存在する脆弱性を見つけることは可能。そのため、ユーザーがアイテムを増やす要求を自動化したり書き換えたりできる可能性もある。
■許可とプライバシー
Niantic社は、セキュリティ上の疑問を突きつけられている。Googleアカウントへのフルアクセスなど、要求される許可が多すぎることにユーザーが気づいたためだ。同社は、基本的なアカウント情報にしかアクセスしていないと説明しながらも、要求する許可を少なくしたアップデート版を公開した。アップデート後も、ロケーションプロファイルや移動パターンなど、『Pokemon Go』で生成されるデータは少なくないが、この点はゲームのプライバシーポリシーで説明されている。
収集されるデータは、『Pokemon Go Plus』を使うとさらに増える可能性もある。『Pokemon Go Plus』は、モバイルデバイスに接続して『Pokemon Go』と併用するBluetooth Low Energy(LE)仕様のウェアラブルデバイスだ。追跡機能をもつウェアラブルのリスクについては、以前のブログで論じたことがある。このときの調査で、Bluetooth LEデバイスは位置追跡が可能であり、データ漏えいの危険もあると判明した。『Pokemon Go Plus』はまだ発売前なので、このデバイスにも同じような問題があるのかどうかは、まだ判断できない。
■現実の世界で安全性を保つ
『Pokemon Go』のいちばん素晴らしい点は、人々が屋外に出て新鮮な空気を吸い、身体を動かすようになることだ。しかし、歩きスマホが原因でケガをするとか、ポケモンが出現する場所にプレイヤーを誘い出して窃盗行為に及ぶといった問題もすでに報告されている。アプリでは、プレイするとき周囲に注意を払うよう勧告されている。また、ゲームに夢中になって、町なかを外れた寂しい場所や暗い場所にひとりで行くのも避けよう。
ポケモンは、次のように述べている。
「Pokemon GOをプレイするときは、周囲に注意し、初めての不慣れな場所には友だちと一緒に行くようにしましょう。常に安全を心がけることをお忘れなく」
■対処方法
モバイルのセキュリティ問題に関しては、攻撃を受けるリスクを減らすために、以下の推奨事項に従ったほうがいい。
・非公式のマーケットプレイスからは『Pokemon Go』をダウンロードしない。攻撃者は、正規のゲームに偽装したマルウェアを拡散するために非公式のサイトを利用している。
・Googleアカウントへのフルアクセスを要求しなくなるアップデート版をインストールする。
・ゲームのチートツールは使わない。詐欺の場合や、マルウェアを含んでいる場合がある。
・脆弱性を悪用されないように、スマートフォンのファームウェアを最新に保つ。
・『Pokemon Go』のアカウントには強力なパスワードを使い、他のサイトと兼用しない。
・アプリが要求する許可の種類に注意する。
・デバイスとデータを保護するために適切なモバイル用セキュリティアプリをインストールする。
文/編集部
@DIME編集部
【このカテゴリーの最新記事】
-
no image
-
no image
-
no image
-
no image
-
no image
この記事へのコメント
コメントを書く
この記事へのトラックバックURL
https://fanblogs.jp/tb/5329815
※ブログオーナーが承認したトラックバックのみ表示されます。
この記事へのトラックバック