2023年3月9日
<<報道資料>>
ソフォス株式会社
ソフォス、アップル社のApp Storeで発見された、サイバー犯罪者がCryptoRomスキームに使用する初の偽アプリの詳細を発表
~ソフォスが公開した最新のレポートで、Apple App Store のアプリ審査をくぐり抜けた方法など、CryptoRom 詐欺の最新情報を解説~
Cybersecurity-as-a-Serviceを開発・提供するグローバルリーダー企業のソフォス(日本法人:ソフォス株式会社(東京都港区 代表取締役 中西 智行)は本日、CryptoRom詐欺について新たに判明した情報を公開しました。ソフォスは、出会い系アプリのユーザーを騙して、架空の暗号通貨投資に巻き込む金融詐欺の手口を、最新のレポート「AppleとGoogleのアプリストアに忍び込む詐欺用の仮想通貨取引アプリ」で詳しく解説しています。このレポートでは、Apple社の厳格なセキュリティプロトコルを回避することに成功した最初の偽の暗号通貨取引アプリであるAce ProとMBM_BitScanについて詳しく説明しています。サイバー犯罪者はこれまで、Apple App Storeが認可していない違法なiPhoneアプリをダウンロードするように被害者に説得するという回避手段を用いていました。ソフォスはAppleとGoogleに速やかに通知し、両社はその後、各ストアから不正なアプリを削除しています。
ソフォスの上級脅威リサーチャーであるJagadeesh Chandraiahは次のように述べています。「Apple App Storeのセキュリティ審査プロセスは厳格であり、マルウェアを通過させることは至難の業です。当初ソフォスがiOSユーザーを標的としたCryptoRom詐欺の調査を開始した時には、詐欺師は偽の取引アプリをインストールするために、まず構成プロファイルをインストールするようユーザーを説得する必要がありました。これには、ソーシャルエンジニアリングの手法が求められ、このハードルを乗り越えて攻撃を行うことは困難でした。標的となった多くのユーザーは、正規のように偽装したアプリを直接ダウンロードできないため、何かが不自然だと感づくことになります。多くのユーザーがApple社を信頼していることから、アプリをApp Storeに掲載できれば、詐欺師は被害者を大幅に増やすことが可能になります。また、これらの両方のアプリは、詐欺師がソーシャルエンジニアリングに役立つモバイルプロファイルを読み込むのを防ぐためにiOSに新しく導入されたロックダウンモードの影響を受けません。実際、これらのCryptoRomの詐欺師は、ロックダウンのセキュリティ機能を念頭に、App Storeの審査プロセスを回避することに重点を置くなど、その手口を変えている可能性があります」
例えば、Ace Proで信用させて騙した被害者を誘い出すために、詐欺師はロンドンで贅沢な暮らしをしていると思われる女性の偽のプロフィールと人格を作り出し、維持していました。詐欺師は、被害者と信頼関係を築いた後、被害者に不正なAce Proアプリをダウンロードするように勧めています。このアプリから暗号通貨詐欺が行われます。
Ace Proは、アプリストアではQRコードスキャナと説明されていますが、実際は詐欺のための暗号通貨取引アプリです。このアプリを一度開くと、ユーザーは暗号通貨を入出金できるはずの取引用のインターフェースを見ることができます。しかし、入金されたお金はそのまま詐欺師の手に渡ります。App Storeのセキュリティを突破するため、詐欺師は、アプリを審査に出す時に、正しいQRスキャン機能を掲載しているリモートWebサイトに接続させた可能性があります。このドメインにはQRスキャンのコードが含まれており、アプリの審査担当者に正規のアプリのように見せかけています。しかし、アプリが承認された後には、アプリをアジアで登録されたドメインにリダイレクトさせています。このドメインは、別のホストのコンテンツで応答するリクエストを送信しており、最終的に偽の取引アプリを提供しています。
MBM_BitScanはAndroid用のアプリでもありますが、Google PlayではBitScanという名前になっています。この2つのアプリは、同じC2インフラと通信しています。このC2インフラは、日本の正規の暗号通貨取引企業に似せたサーバーと通信します。それ以外の悪意のある操作はすべてWebインターフェースで処理されるため、Google Playのコードレビューの担当者が不正を見抜くのは困難だったはずです。
CryptoRomとは、「豚の屠殺」と呼ばれるサイバー詐欺の一種で、恋愛を装ったソーシャルエンジニアリングと不正な暗号通貨取引アプリやWebサイトを組み合わせて、被害者を誘い出し、時間をかけて信用を得てからお金を奪う、組織的な詐欺の手口です。ソフォスでは、数百万ドルを奪ってきたこれらの詐欺を2年間にわたって追跡調査し報告しています。
CryptoRomとこれらの不正なアプリの背後にいる犯罪者の詳細については、「AppleとGoogleのアプリストアに忍び込む詐欺用の仮想通貨取引アプリ」のレポート(https://news.sophos.com/ja-jp/2023/02/01/fraudulent-cryptorom-trading-apps-sneak-into-apple-and-google-app-stores-jp/)をSophos.comで参照してください。
●ソフォスについて
ソフォスは、組織をサイバー攻撃から守るDetection and Response (MDR) サービスやインシデント・レスポンス・サービスのほか、幅広いエンドポイント、ネットワーク、電子メール、およびクラウドのセキュリティ技術群を含む高度なサイバーセキュリティ・ソリューションを開発・提供する世界的なリーダーです。ソフォスは、サイバーセキュリティに特化した最大級のプロバイダーとして、全世界で50万以上の組織と1億人以上のユーザーを、アクティブアドバーサリ、ランサムウェア、フィッシング、マルウェアなどから保護しています。ソフォスのサービスと製品は、クラウドベースの管理コンソールSophos Centralに接続され、3つのサイバーセキュリティ専門家チームから構成される脅威インテリジェンス組織であるSophos X-Opsの支援を受けています。Sophos X-Opsのインテリジェンスは、ソフォスの適応型サイバーセキュリティエコシステムのあらゆる場所で最適な形で活用できます。このエコシステムには一元的なデータレイクが含まれ、顧客、パートナー、開発者、他のサイバーセキュリティおよび情報テクノロジーベンダーは豊富なオープンAPIセットを活用して、このデータレイクにアクセスできます。ソフォスは、フルマネージドのターンキーセキュリティソリューションを必要としている組織にサービスとしてのサイバーセキュリティを提供しています。企業や組織は、ソフォスのセキュリティオペレーションプラットフォームを使用して直接サイバーセキュリティを管理することも、脅威の検出や修復についてもソフォスのサービスを利用して社内チームの能力を補完するハイブリッドなアプローチを採用することもできます。ソフォスは、世界各国のリセラーパートナーやMSP(マネージドサービスプロバイダー)から製品およびサービスを販売しています。ソフォスの本社は英国オックスフォードにあります。詳細についてはwww.sophos.com(日本語サイト:https://www.sophos.com/ja-jp.aspx)をご覧ください
●報道関係のお問合せ先
ソフォス株式会社広報事務局
Tel: 03-6454-6930
Email: sophos@ambilogue.com
以上
<<報道資料>>
ソフォス株式会社
ソフォス、アップル社のApp Storeで発見された、サイバー犯罪者がCryptoRomスキームに使用する初の偽アプリの詳細を発表
~ソフォスが公開した最新のレポートで、Apple App Store のアプリ審査をくぐり抜けた方法など、CryptoRom 詐欺の最新情報を解説~
Cybersecurity-as-a-Serviceを開発・提供するグローバルリーダー企業のソフォス(日本法人:ソフォス株式会社(東京都港区 代表取締役 中西 智行)は本日、CryptoRom詐欺について新たに判明した情報を公開しました。ソフォスは、出会い系アプリのユーザーを騙して、架空の暗号通貨投資に巻き込む金融詐欺の手口を、最新のレポート「AppleとGoogleのアプリストアに忍び込む詐欺用の仮想通貨取引アプリ」で詳しく解説しています。このレポートでは、Apple社の厳格なセキュリティプロトコルを回避することに成功した最初の偽の暗号通貨取引アプリであるAce ProとMBM_BitScanについて詳しく説明しています。サイバー犯罪者はこれまで、Apple App Storeが認可していない違法なiPhoneアプリをダウンロードするように被害者に説得するという回避手段を用いていました。ソフォスはAppleとGoogleに速やかに通知し、両社はその後、各ストアから不正なアプリを削除しています。
ソフォスの上級脅威リサーチャーであるJagadeesh Chandraiahは次のように述べています。「Apple App Storeのセキュリティ審査プロセスは厳格であり、マルウェアを通過させることは至難の業です。当初ソフォスがiOSユーザーを標的としたCryptoRom詐欺の調査を開始した時には、詐欺師は偽の取引アプリをインストールするために、まず構成プロファイルをインストールするようユーザーを説得する必要がありました。これには、ソーシャルエンジニアリングの手法が求められ、このハードルを乗り越えて攻撃を行うことは困難でした。標的となった多くのユーザーは、正規のように偽装したアプリを直接ダウンロードできないため、何かが不自然だと感づくことになります。多くのユーザーがApple社を信頼していることから、アプリをApp Storeに掲載できれば、詐欺師は被害者を大幅に増やすことが可能になります。また、これらの両方のアプリは、詐欺師がソーシャルエンジニアリングに役立つモバイルプロファイルを読み込むのを防ぐためにiOSに新しく導入されたロックダウンモードの影響を受けません。実際、これらのCryptoRomの詐欺師は、ロックダウンのセキュリティ機能を念頭に、App Storeの審査プロセスを回避することに重点を置くなど、その手口を変えている可能性があります」
例えば、Ace Proで信用させて騙した被害者を誘い出すために、詐欺師はロンドンで贅沢な暮らしをしていると思われる女性の偽のプロフィールと人格を作り出し、維持していました。詐欺師は、被害者と信頼関係を築いた後、被害者に不正なAce Proアプリをダウンロードするように勧めています。このアプリから暗号通貨詐欺が行われます。
Ace Proは、アプリストアではQRコードスキャナと説明されていますが、実際は詐欺のための暗号通貨取引アプリです。このアプリを一度開くと、ユーザーは暗号通貨を入出金できるはずの取引用のインターフェースを見ることができます。しかし、入金されたお金はそのまま詐欺師の手に渡ります。App Storeのセキュリティを突破するため、詐欺師は、アプリを審査に出す時に、正しいQRスキャン機能を掲載しているリモートWebサイトに接続させた可能性があります。このドメインにはQRスキャンのコードが含まれており、アプリの審査担当者に正規のアプリのように見せかけています。しかし、アプリが承認された後には、アプリをアジアで登録されたドメインにリダイレクトさせています。このドメインは、別のホストのコンテンツで応答するリクエストを送信しており、最終的に偽の取引アプリを提供しています。
MBM_BitScanはAndroid用のアプリでもありますが、Google PlayではBitScanという名前になっています。この2つのアプリは、同じC2インフラと通信しています。このC2インフラは、日本の正規の暗号通貨取引企業に似せたサーバーと通信します。それ以外の悪意のある操作はすべてWebインターフェースで処理されるため、Google Playのコードレビューの担当者が不正を見抜くのは困難だったはずです。
CryptoRomとは、「豚の屠殺」と呼ばれるサイバー詐欺の一種で、恋愛を装ったソーシャルエンジニアリングと不正な暗号通貨取引アプリやWebサイトを組み合わせて、被害者を誘い出し、時間をかけて信用を得てからお金を奪う、組織的な詐欺の手口です。ソフォスでは、数百万ドルを奪ってきたこれらの詐欺を2年間にわたって追跡調査し報告しています。
CryptoRomとこれらの不正なアプリの背後にいる犯罪者の詳細については、「AppleとGoogleのアプリストアに忍び込む詐欺用の仮想通貨取引アプリ」のレポート(https://news.sophos.com/ja-jp/2023/02/01/fraudulent-cryptorom-trading-apps-sneak-into-apple-and-google-app-stores-jp/)をSophos.comで参照してください。
●ソフォスについて
ソフォスは、組織をサイバー攻撃から守るDetection and Response (MDR) サービスやインシデント・レスポンス・サービスのほか、幅広いエンドポイント、ネットワーク、電子メール、およびクラウドのセキュリティ技術群を含む高度なサイバーセキュリティ・ソリューションを開発・提供する世界的なリーダーです。ソフォスは、サイバーセキュリティに特化した最大級のプロバイダーとして、全世界で50万以上の組織と1億人以上のユーザーを、アクティブアドバーサリ、ランサムウェア、フィッシング、マルウェアなどから保護しています。ソフォスのサービスと製品は、クラウドベースの管理コンソールSophos Centralに接続され、3つのサイバーセキュリティ専門家チームから構成される脅威インテリジェンス組織であるSophos X-Opsの支援を受けています。Sophos X-Opsのインテリジェンスは、ソフォスの適応型サイバーセキュリティエコシステムのあらゆる場所で最適な形で活用できます。このエコシステムには一元的なデータレイクが含まれ、顧客、パートナー、開発者、他のサイバーセキュリティおよび情報テクノロジーベンダーは豊富なオープンAPIセットを活用して、このデータレイクにアクセスできます。ソフォスは、フルマネージドのターンキーセキュリティソリューションを必要としている組織にサービスとしてのサイバーセキュリティを提供しています。企業や組織は、ソフォスのセキュリティオペレーションプラットフォームを使用して直接サイバーセキュリティを管理することも、脅威の検出や修復についてもソフォスのサービスを利用して社内チームの能力を補完するハイブリッドなアプローチを採用することもできます。ソフォスは、世界各国のリセラーパートナーやMSP(マネージドサービスプロバイダー)から製品およびサービスを販売しています。ソフォスの本社は英国オックスフォードにあります。詳細についてはwww.sophos.com(日本語サイト:https://www.sophos.com/ja-jp.aspx)をご覧ください
●報道関係のお問合せ先
ソフォス株式会社広報事務局
Tel: 03-6454-6930
Email: sophos@ambilogue.com
以上