** 本記事は、英語記事タイトル の翻訳です。最新の情報は英語記事をご覧ください。**
5 月にソフォスはサイバー詐欺師が出会い系サイトやアプリを利用して被害者にソーシャルエンジニアリングを行い、iPhone や Android に偽の暗号通貨アプリをインストールさせる事例 (リンク先: 英語) を報告しました。当時、これらのアプリを利用する詐欺師はアジアのみを標的にしていると考えられていました。しかし、最初の報告以降、これらの偽アプリによる詐欺が世界規模で起こっていることが次第に明らかになりました。
数千ドルもの金額を失ったヨーロッパの (ほとんどは iPhone の) ユーザーも報告されています。今回の詐欺事例に関係するアプリケーションは複数確認されており、ロマンス詐欺と暗号通貨取引詐欺が組み合わされていることから、ソフォスはこの事例を「CryptoRom」と名付けました。
当初の調査では、これらのアプリケーションを利用する詐欺師は iOS ユーザーを標的に Apple のアドホック配布方式を悪用し、「Super Signature サービス」と呼ばれる手順を通じて詐欺を行っているのが確認されていました。ユーザーから提供された情報および脅威ハンティングを元にさらに調査を進めたところ、今回の事例に関係する iOS の悪意のあるアプリケーションは、Apple の Enterprise Signature 配布方式を悪用した設定プロファイルを利用して、被害者の情報を得ていることが判明しました。
世界規模の詐欺キャンペーン
インターポール (国際刑事警察機構) が今年初めに発表した報告書は、この種の詐欺の拡大を警告しており、特に出会い系アプリやソーシャルメディアのプラットフォームを通じてパートナーを探している弱い立場の人が狙われていると指摘しています。ソフォスに直接詐欺被害が報告された事例に加え、ニュース報道や、詐欺報告をデータベース化している Web サイト上でも多くの事例が確認されています。また、アジア諸国に加え、英国、フランス、ハンガリー、米国でも同様の詐欺被害が確認されました。
事件の被害者から連絡を受けて、今回の詐欺キャンペーンの詳細を調査しました。
報道によると、63,000 ポンド (およそ 87,000 米ドル相当) もの金額を失った被害者もいるようです。英国では、同様の詐欺の被害がさらに報道されており、ある被害者は Facebook を通じて連絡してきた人物に 35,000 ポンド (およそ 45,000 米ドル相当) を支払い、また別の被害者は Grindr を通じて連絡してきた人物に 20,000 ポンド (25,000 米ドル相当) を支払った そうです。最後の事例では、被害者はまず最初の入金を行い、銀行から Binance のアプリケーションを通じて詐欺師に送金を行った後、お金を引き出すためにさらに入金をするよう求められました。いずれの被害者の元にも失われたお金は戻っていません。
詐欺データベースサイトで、これらの詐欺に関する URL や、CryptoRom の被害に遭った方のコメントを調査しました。被害者の方の話を分析することで、今回の詐欺の手口に対する理解が深まりました。
詐欺師は、まず被害者と Bumble、Tinder、Facebook dating、Grindr などの出会い系サイトやアプリを通じて連絡を取り、しばらくすると、被害者を別のメッセージアプリに誘導します。被害者と親密になると、詐欺師は一見して正規のドメインやカスタマーサポートを持つ偽の暗号通貨取引アプリをインストールさせます。アプリをインストールさせると、投資の話に誘導して少額の投資をしてもらい、さらにそのお金を利子付きで出金させることで被害者の信用を得ます。その後、被害者にさまざまな金融商品を購入するように指示したり、特別に「お得な」イベントに投資するように誘導します。この「新しい友人」は被害者にいくらかお金を貸すこともあり、被害者に実在する親切な人だという印象を抱かせます。被害者が返金を求めたり、相手に不信感を抱いたりすると、アプリのアカウントから閉め出されてしまいます。
130 万ドル以上もの金額が 1 つのビットコインアドレスに送金される
iPhone ユーザーを標的に
これまでに確認された被害者のほとんどが iPhone ユーザーであり、偽アプリを配布するための Web ページも App Store を模したものが中心となっていることから、詐欺師はiPhone ユーザーに富裕層の割合が高いと考えて標的を定めている可能性があります。以下の画像は、最近確認された詐欺に使われた Web ページの 1 つで、アプリのダウンロード画面が Apple App Store のページに似ています。
Apple Enterprise Program の悪用
詐欺師は、Apple App Store によるアプリ審査プロセスを回避しつつ、標的にたどり着く方法を積極的に探しています。この詐欺キャンペーンに関する最初の記事 (リンク先: 英語) では、Super Signature を利用したアドホック配布方式がどのように iOS デバイスのユーザーを標的にしているかを紹介しました。また、偽アプリの配布に使用されたモバイルプロビジョニングプロファイルも発見されました。
それ以来、Super Signature に加えて、Apple Developer Enterprise プログラム(Apple Enterprise/Corporate Signature) を利用した偽アプリケーションの配信が確認されています。また、被害者のデバイスをリモートで管理するために Apple Enterprise Signature が悪用される事例も確認されています。Apple Enterprise Signature プログラムを利用すると、Enterprise Signature のプロファイルと証明書を使用して、Apple App Store の審査を受けずにアプリを配布できます。Enterprise 証明書で署名されたアプリは、本来組織内で従業員やアプリケーションテスターのみに向けて配布されるものであり、一般消費者向けのアプリの配布に使用されるべきではありません。
Enterprise アカウントではなく個人の開発者アカウントを使用する Super Signature サービスでは、アプリをインストールできるデバイスの数に制限があり、インストールにはデバイスの UDID が必要です。一方、Enterprise Signature サービスは、1 つのアカウントで管理されているデバイスの数よりも多くのデバイスに直接アプリを配布することができます。どちらの場合も、アプリを Apple App Store に提出して審査を受ける必要はありません。
iOS デバイスのユーザーが上記のような詐欺サイトの 1 つにアクセスすると、デバイスに新しいプロファイルがダウンロードされます。ダウンロードされるプロファイルは、通常のアドホックプロファイルではなく、Enterprise 証明書で署名された MDM プロビジョニングプロファイルです。ユーザーは、このプロファイルを信頼するよう要求され、その要求に従うと、詐欺師はプロファイルの内容に応じてデバイスを管理できるようになります。以下の画像で警告されているように、プロファイルを信頼することで詐欺師に個人情報の収集、アカウントの追加および削除、アプリのインストールおよび管理を行う権限を与える可能性があります。
上の画像の例では、詐欺師は被害者に端末のブラウザで再度 Web サイトにアクセスするよう要求していました。プロファイルを信頼した後にサイトを訪問すると、偽のレビューが掲載された、Apple App Store に似せたページからアプリをインストールするように促されます。インストールされるのは、暗号通貨取引アプリ「Bitfinex」の偽アプリです。
Apple の Enterprise プロビジョニングシステムは、Apple プラットフォームのアキレス腱であり、Super Signature 配布方式と同様、過去にもマルウェアの配布のため広く悪用されてきました。この問題を重く見た Apple は Enterprise 証明書の使用を取り締まり始めており、その結果 Enterprise 証明書を利用してユーザーにアプリを配布していた Google や Facebook の証明書でさえ一時は取り消される事態に なりました (この 2 社の証明書は後に復活しました)。Apple が取り締まったことで、悪意のある開発者による Enterprise 証明書の悪用は減少しましたが、Apple App Store の審査を回避するため、Enterprise 証明書による署名をより的を絞って悪用する方法に向かっていると考えられます。
Enterprise 証明書の配布を行うサードパーティーの商用サービスが存在し、詐欺師はこれらのサービスを悪用しています。以下のスクリーンショットは、中国の Enterprise Signature に関する有料サービスによる広告で、App Store の審査を回避できることを宣伝しています。
結論
While Apple’s iOS platform is generally considered , even apps in the walled garden of the App Store can pose a threat to Apple’s customers—it remains riddled with fraudulent apps like .
Apple の iOS プラットフォームは一般的には安全だと考えられていますが、App Store という箱庭にさえフリースウェア (リンク先: 英語) を始めとする不正アプリが多数存在しており、Apple デバイスのユーザーに脅威を与える可能性があります。さらに、CryptoRom は、App Store による安全性の審査をすべて回避して、弱い立場の iPhone ユーザーを直接狙っています。
このような詐欺キャンペーンは依然として活発に行われており、毎日のように新たな被害が発生しています。被害に遭った場合、失ったお金を取り戻せる可能性はほとんどありません。弱い立場の iOS デバイスユーザーを対象とした詐欺のリスクを軽減するため、Apple は、アドホック配布や企業のプロビジョニングシステムを通じてアプリをインストールしようとするユーザーに対して、これらのアプリが Apple による審査を受けていないことを警告する必要があります。また、暗号通貨を取り扱う機関は「顧客確認 (Know Your Customer)」ルールの導入を開始していますが、暗号通貨に対する広範な規制が整備されていないため、詐欺師はしばらく同様の仕組みを使い続けると考えられます。暗号通貨を利用した詐欺の被害者がお金を取り戻すのは極めて困難であり、被害者の生活に壊滅的な影響を与える可能性があります。
ソフォスは、悪意のあるアプリとインフラの詳細を Apple に提供しましたが、Apple からの回答はまだ得られていません。今回の報告のために分析した、悪意のある iOS アプリのサンプルのセキュリティ侵害の痕跡 (IoC) は以下の通りです。今回の詐欺キャンペーンに使われた偽アプリやサイトの IoC の一覧は SophosLabs の GitHub で共有されています。
IOC
チーム識別子 – 63H9VMJFHA
チーム名 – TECHNOLOGY LINKS (PRIVATE) LIMITED
バンドル ID – com.aabbcc.bitfinex
IPA – 3c346a89f8e2151660137c2dcddc07df1ae7060d725d626e47a11bb7b1387940
URL – qqkkd[.]com/