セキュリティ研究者ESETは、ハッカーによる銀行のログイン情報の窃取を狙う新たなフィッシング攻撃に関するレポートを公開しました。この攻撃には、AppleのApp Storeとそのゲートキーピングやセキュリティチェックを回避する手法が用いられています。
このフィッシングキャンペーンでは、銀行を装った電話がユーザーにかかってきて、使用している銀行アプリが古くなっていると告げられます。ポップアップ画面でオプションを選択するよう指示された後、SMSメッセージでフィッシングリンクが送信されます。ユーザーがリンクをタップすると、アプリストアのインストール画面を模倣した画面が表示されます。ESETは、Google Playストアを模倣したインストール画面を確認しましたが、Apple App Storeを模倣した画面は確認できませんでした。ESETは、この詐欺が偽のApple App Storeインストール画面を使用しているかどうかを確認できませんでしたが、この攻撃はiOSユーザーを標的としています。画面の外観はXポストで確認できます。
インストールされるアプリはプログレッシブウェブアプリケーション(PWA)で、基本的にはスマートフォン上でアプリとして表示されるウェブサイトです(「ウェブアプリ」と呼ばれることもあります)。このウェブアプリは銀行のアプリに似せて設計されており、ユーザーがユーザー名、パスワード、その他の情報を入力すると、その情報は攻撃者が管理するサーバーに送信されます。
攻撃から身を守る方法
プログレッシブ・ウェブ・アプリケーション自体は特別なものではなく、一般的に無害なものではありません。実際、AppleがiPhoneをサードパーティ製アプリに開放し、App Storeを設立する以前から、開発者にウェブアプリの開発を奨励していました。今日のApp Storeでも、多くのアプリ、特に金融機関や小売店向けのアプリは、基本的にウェブアプリを再パッケージ化したものです。
この攻撃はチェコスロバキアの銀行の顧客によって観測され、ESETはジョージア、ハンガリー、ポーランドで発生したと報告している。ESETは米国や英国で発生した攻撃については言及していない。
iPhoneで銀行アプリをご利用の場合、アプリのアップデートを入手する最も安全な方法はApp Storeを利用することです。App Storeはアカウントプロフィールにアップデート通知を送信し、そこからアップデートをインストールできます。また、App Storeでアプリのエントリーを確認することもできます。テキストメッセージで受信したリンクは開かないでください。iPhoneのマルウェアとウイルスについてはこちらで詳しく説明しています。ハッカーからスマートフォンを守るためのヒントも掲載しています。
Macworld には、ウイルス対策ソフトウェアが必要かどうかについてのガイド、Mac ウイルス、マルウェア、トロイの木馬のリスト、Mac セキュリティ ソフトウェアの比較など、役立つガイドがいくつかあります。
著者: ロマン・ロヨラ、Macworld シニアエディター
ロマンはMacworldのシニアエディターで、30年以上にわたりテクノロジー業界を取材し、MacをはじめとするAppleエコシステム製品を中心に活躍しています。Macworld Podcastのホストも務めています。彼のキャリアはMacUserで始まり、Apple認定修理技術者(当時はAppleがそのような制度を設けていた)として認定されました。MacAddict、MacLife、TechTVでも活躍しています。
