1 月の初めに Android.Exprespamが発見されてからまだ 2 週間ほどしか経っていませんが、すでに詐欺グループはこのマルウェアでかなりの成果を上げているようです。Exprespam が Android ユーザーを欺いて個人情報を盗み出していると推測するに足るデータを入手しました。入手できたデータはごく一部であり、完全なデータではないものの、「ANDROID EXPRESS の PLAY」と称する偽マーケットが 1 月 13 日から 1 月 20 日の間に 3,000 件をゆうに超えるアクセス数を稼ぎだしたことが判明しています。
いくつかの情報ソースに基づいて計算した結果* によると、詐欺グループが盗み出した個人情報は 75,000 件から 450,000 件にのぼる可能性があります。
図 1.盗み出された恐れのある情報の件数
この詐欺行為が出回り始めてからわずか 2 週間あまりであることを考えると、今はこの詐欺も序の口にすぎず、盗み出される個人情報の件数は急増することが予想されます。その証拠として、Exprespam の作成者がさらに別のドメインを登録しており、新しいドメインで別のバージョンの偽マーケットを展開していることが確認されています。今回のマーケットには特に名前がなく、マーケットの運営者の名前が掲げられているだけです。このブログの執筆時点で、新しいマーケットはまだそれほど利用された形跡がなく、現在も作成中かスタンバイ状態のようですが、だからと言って詐欺グループが足踏みをしているわけではありません。このサイトではすでに、マルウェアの新しい亜種をホストしているからです。
図 2. Exprespam 詐欺グループによって使われているさまざまな偽アプリマーケット
Exprespam に関する一連のブログでおわかりいただけるとおり、詐欺グループは自分たちの行為が十分な利益を生むように、絶えず作戦を変えつつあります。こうした改変の努力は、詐欺グループが逮捕され罰せられるか、人々を騙すことをやめるまで続くと考えられ、そのような日がすぐに訪れるとは思えません。一連のブログをこれまでお読みになった皆さんにとっては、この手口も今やすっかりおなじみであり、こうしたマルウェアをダウンロードしたりインストールしたりすることはないでしょう。
Android をお使いの方は、安全を保つために、不明な送信者からの電子メールに記載されているリンクをクリックしないこと、アプリは信頼できる既知のアプリベンダーからダウンロードすること、そしてノートン モバイルセキュリティや Symantec Mobile Securityなどのセキュリティアプリをデバイスにインストールすることをお勧めします。スマートフォンやタブレットの安全性に関する一般的なヒントについては、モバイルセキュリティの Web サイト(英語)を参照してください。
* どのくらいの個人情報が盗み出されたのかを概算するために、Exprespam の最初の偽マーケットである「Gcogle Play」と、新しい偽マーケットのアクセス数を合算しました。「Gcogle Play」へのアクセス数は 2,000 件と推測しています。このページは、「ANDROID EXPRESS の PLAY」と同じ日数存続していたからです。そのうえで、感染したデバイスに登録されている連絡先の平均件数を計算するために、まずマルウェア Android.Dougalek(別名 "The Movie" マルウェア)と Android.Ackpostsによって盗み出された連絡先情報の総数を求め、それを感染数の合計で割りました(報道によれば、Dougalek は 90,000 台のデバイスから約 1,180 万件、Ackposts は 18,000 台のデバイスから約 400 万件の個人情報を盗み出したとされています)。計算すると、盗み出された個人情報はデバイス 1 台当たり 150 件となります。
控え目に見積もって、悪質なアプリを実際にダウンロードしてインストールしたユーザーがごく少数(10 人に 1 人)だったと仮定すれば、感染数は合計 500 件となり、盗み出された個人情報はおよそ 75,000 件ということになります。
逆に、偽サイトへのアクセス後に実際にアプリをダウンロードしてインストールしたユーザー数を多めに見ておよそ 3,000 人と仮定すると、盗み出された個人情報はもっと膨大な数になります。両方の計算結果を示したのが 図 1 です。
盗み出された連絡先情報の数には重複も含まれているという点に注意してください。また、この数字はあくまでも、詐欺被害の規模を理解しやすくするための概算にすぎません。完全なデータは揃っていませんが、実数はこの概算の何倍にも膨れ上がるかもしれません。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/jaにアクセスしてください。