日本を狙うモバイルマルウェアの実態は？～サイバーセキュリティシンポジウム道後2024レポート～

サイバーセキュリティシンポジウム道後とは

サイバーセキュリティシンポジウム道後（以降、SEC道後）は、2012年より毎年開催されている^※、サイバーセキュリティの重要性の普及・啓発を目的に、また地域の企業・組織・団体による情報収集・相談、参加者同士の連携・交流の場として活用されているイベントです。
※ 2012年～2015年は、旧称「情報セキュリティシンポジウム道後」として開催。

シンポジウムは、愛媛大学城北キャンパスの一角で行われた

2024年は「サイバー攻撃に負けない地域づくり～新たな脅威に備えた連携と共助～」をテーマに、サイバーセキュリティに関する政策動向、最新の攻撃や対抗技術について議論を深めることを趣旨に開催されました。3月8日～9日の2日間で多岐にわたるプログラムが開催されましたが、午後以降の基調講演や特別講演のほか、19時以降から始まる公募による各企業のプレゼンテーションで構成された「ナイトセッション」も見どころの1つです^※。

昼に開催されたパネルディスカッションでは当社のシニアセキュリティリサーチャーの今が登壇（上）。また別のナイトセッションでは、ソリューション推進部シニアマネージャー松山も登壇しました（下）。

今回、当社は「ナイトセッション」の公募枠の1枠を頂くことができ、登壇をしてきましたので、その模様をレポート記事としてお送りします。当社の登壇テーマは、「国内被害を二分するモバイルマルウェア『XLOADER』と『KeepSpy』を追う」です。

国内被害を二分するモバイルマルウェア

国内でもPCの利用率を大きく上回って久しいスマートフォン^※。企業がビジネスのDXを考える上でも、顧客のほとんどが保有するスマートフォン対応は欠かせないでしょう。いわゆるモバイル向けの脅威は、当社の脅威リサーチの研究所「スレット・インテリジェンス・センター（以降、同センター）」でも主要な研究テーマの1つです。その研究成果はこれまでも各所で共有・発表してきましたが、最新の動向を当社のエバンジェリスト岡本と同センタースタッフスレットリサーチャー河田から発表しました。
※総務省「令和5年版情報通信白書-第2部　情報通信分野の現状と課題」より。端末別のインターネット利用率（個人）は、「スマートフォン」（71.2％）が「パソコン」（48.5％）を大きく上回っている。

写真：当日のナイトセッションの様子

写真：トレンドマイクロの岡本（上）と河田（下）

「XLOADER（エックスローダー）」と「KeepSpy（キープスパイ）」は、ともにAndroidを狙うモバイルマルウェアです（後ほどiPhoneを狙った攻撃手口も解説します）。XLOADERは2019年頃から、KeepSpyは2021年頃から国内での活動が確認されており、ともにSMS（short message service）を使った感染手法が特徴です。

図：XLOADERとKeepSpyの特徴（ナイトセッションの講演資料から）

図：XLOADER感染を狙ったSMSの例

以下の図に示す通り、2023年のAndroid向けモバイルマルウェアの検出数においても（全世界）、その大半はXLOADERとKeepSpyで占められます。見出しの通り、この2種でモバイルマルウェアによる被害を2分としていると言っても差し支えないでしょう。

図：2023年の全世界のAndroid向けのモバイルマルウェア検出における種別割合（講演資料より）

XLOADER/KeepSpyともに、SMSを発端としてAndroidスマートフォンに感染します。「Androidを狙うモバイルマルウェア」と前述しましたが、iPhoneの場合、マルウェア感染サイトではなく、Appleや実在する決済サービスに偽装したフィッシング詐欺サイトへ誘導されるため被害を免れるというわけではありません。「どのような端末であっても、何とか情報を窃取しよう」とするサイバー犯罪者の意図が読み取れます（なお、iPhoneでも、詐欺サイトに誘導する形ではなく、不正な構成プロファイルをインストールさせようとする手口が別ケースで確認されています）。

Androidの場合、この2種のモバイルマルウェアに感染すると、外部の遠隔操作用サーバと接続し、感染したスマートフォンの電話番号、アドレス帳（つまり該当のスマートフォン所有者以外の情報です）、受信したSMSの内容（正規サービスの認証などにSMSを利用している場合はそれも対象）などを窃取されます。

図：XLOADERの感染の流れ（講演資料より）

図：KeepSpyの感染の流れ（講演資料より）

電話番号やアドレス帳の窃取も気を付けたいですが、本稿で注目したいのは「SMSの窃取」です。多くの正規サービスでは、認証時の本人確認のために、ID/パスワードとは別にSMSで確認用コードを送り二要素認証/多要素認証を行っているケースが多いようです（SMS認証）。こうした正規サービスから送られてくる確認用コードが窃取されてしまうと、その情報を悪用され第3者にSMS認証が突破されてしまう可能性があります。

なぜ感染に気付けない？巧みな隠ぺい機能

この2種のモバイルマルウェアが厄介な点は「情報窃取」以外にもあります。この2種のモバイルマルウェアは、遠隔操作側の命令を受けて、感染したスマートフォンからSMSを送信するという機能を持ちます（つまり、そのSMSの受信者は感染端末から送られているように見えるのです）。すなわち、被害者の感染スマートフォンがさらなる脅威の発信源となってしまうというわけです。

送信されるSMSの内容は、同種のモバイルマルウェアに感染を狙う内容（宅配の不在者通知を装ったものなど）や金融機関を騙ってフィッシング詐欺を狙ったメッセージ（「SMS」と「フィッシング」を組み合わせて、「スミッシング」とも言います）を送ることが確認されています。送信される内容は、遠隔操作側の意図次第のため、状況により変化しますが、直近では特定の金融機関を騙ったものを多く確認しています。

現在、企業や業界を超えたDXが進む中、様々なアカウント情報が決済サービス的な側面を持ったり、重要情報との紐づけがされています。今後、金融業界に限らず自社サービスのアカウントを持った顧客がこうした手口の対象となる可能性も考慮した方が良いでしょう。

図：KeepSpyの最近の動向（講演資料より）

これら2つのモバイルマルウェアですが、感染にスマートフォン保有者が気づかないようにする工夫もされています。感染時（モバイルマルウェアをインストールしてしまう際）にはWebブラウザ「Google Chrome」のアイコンを悪用して騙そうとしたり、実在する企業のセキュリティアプリに偽装をするなどします。さらに、感染後にはそのアイコンがドロワーで表示されるアプリ一覧には表示されないようにする仕組みを持つケースを確認しています。

図：XLOADERとKeepSpyのアイコン偽装の例（講演資料より）

前項で「SMSを送信する機能がある」と述べましたが、「感染しているスマートフォンに身に覚えのないSMSの送信履歴が残るはずだから、そこで気づけるのでは？」と思った方もいらっしゃるでしょう。実は、この2種のモバイルマルウェアは、「デフォルトのSMSアプリ（該当のAndroidスマートフォンで、プライマリでSMSを扱う規定アプリ）」に自身を登録しようとします。そこからSMSの送受信履歴を見ても、該当のSMSは表示されない仕組みになっているためより気づきにくいというわけです（ちなみに、感染したスマートフォンからのSMSの受信者が、注意喚起のために返信してもそのSMSも表示されません）。

逆に、「デフォルトのSMSアプリ」に見慣れないアプリが設定されている場合は、感染を疑った方が良いでしょう。企業側で、顧客に注意喚起を行う際には、こうした点を案内することもポイントです。

写真：ナイトセッションでは、モバイルアプリの動作デモも披露した（一部写真を加工しています）

法人組織として検討したいこと

2024年3月に警察庁から発表されたサイバー犯罪レポートでは、「インターネットバンキングに係る不正送金事犯」の2023年中の発生件数は5,578件、被害総額は約87億3,130万円であり、それぞれ過去最多となっています^※。
※ 警察庁「令和５年におけるサイバー空間をめぐる脅威の情勢等について」（令和6年3月14日）。

こうした状況について、今回のナイトセッションで解説したXLOADERとKeepSpyが暗躍していることは大きな悪影響を与えているでしょう。先に解説した通り、SMS認証による本人確認も、こうしたモバイルマルウェアによって突破されてしまう可能性があります。スマートフォン利用者を前提とする事業において、サービス利用者向けにアカウントを付与して決済サービスや重要情報と紐づけている（またはこれから検討している）組織は、以下のような点の対策を検討していく必要はあるでしょう。

・二要素/多要素認証は必須と言えるが、「SMS認証」は突破される危険性がある点を認識する。時間やコスト面から可能であれば、認証アプリなど別の認証方法を検討する。

・ユーザのアクセス後の挙動をモニタリングして、不審な点（夜間の金銭移動や普段より金額の大きい購入等）がないかチェックする。

・スマートフォン利用者向けに、こうした手口があることを定期的に注意喚起する。

トレンドマイクロでは、今回のような業界団体のイベントを通した情報発信を通して、インターネットの安全性の向上に寄与していきます。