情報処理推進機構(IPA)は2012年2月3日、スマートフォンを狙ったワンクリック詐欺(ワンクリック請求)が増えているとして注意を呼びかけた。ある詐欺サイトでは、動画再生アプリに見せかけてウイルス(悪質なアプリ)を配布。インストールすると電話番号を盗まれ、料金請求のメッセージがSMSで送られてくるという。
ワンクリック詐欺とは、Webページにアクセスしただけ、あるいはWebページ中の画像やリンクなどをクリックしただけで料金を請求するネット詐欺のこと。ウイルスを使って料金請求する手口もある。
今回IPAが紹介したのは、ウイルスを使った手口。Android OSを搭載したスマートフォンやタブレット端末が対象。IPAでは、テスト用のスマートフォンにウイルスを感染させて、その挙動を検証した。
この手口では、迷惑メールに記載したリンクや、検索サイトの結果などから、詐欺サイトにユーザーを誘導する。
詐欺サイトは、アダルト動画を提供するサイトに見せかけている。置かれている動画を再生するには、そのサイトが提供する専用アプリが必要だとして、そのアプリに見せかけたウイルスをインストールさせようとする(図1左、図1中央)。
ユーザーがインストールしようとすると、Androidスマートフォンは、「提供元不明のアプリ」としてインストールをブロックするが(図1右)、詐欺サイトでは、設定を変更してインストールする手順を紹介。その手順に従うと、インストールできてしまう。
インストール時には、動画の再生専用アプリには必要だと思えないアクセス許可が表示される(図2)。具体的には、スマートフォンの位置情報や電話番号、メールアドレスなどへのアクセス許可が求められる。
インストールされたウイルスは、Webブラウザー上に料金請求画面を表示(図3中央、図3右)。ユーザーがWebブラウザーを終了しても、しばらくすると同様の画面が勝手に表示される。
加えてバックグラウンドでは、ウイルスを配布している業者に、そのスマートフォンの電話番号やメールアドレスが送信されているもよう。実際数日後には、業者から督促のメッセージがSMSで送られてきた(図4)。電話番号を知られているのは確実なので、料金請求の電話がかかってくる可能性もある。
このような被害に遭わないためには、「パソコンと同様に信頼できない場所からダウンロードしたファイルを不用意にインストールしないことが重要」とIPAでは呼びかけている。
加えて、「セキュリティアプリを使う」「インストール時に表示されるアクセス許可を確認する」などを挙げている。