佐川急便を騙って偽アプリをインストールさせる攻撃が急増 34
ストーリー by hylom
アプリのインストールにはご注意を 部門より
アプリのインストールにはご注意を 部門より
佐川急便を装って個人情報を詐取することを狙う攻撃が急増しているという(佐川急便の発表)。
手口としては、身に覚えのない不在配達通知がメールやSMSなどで届き、その中に記載されているURLをWebブラウザで表示すると偽のサイトが表示されて不審なアプリのインストールを促されるというもの。このアプリをインストールしてしまうと、勝手にSMSを送信したり、iTunesカードなどを無断で購入するといった活動が行われると報告されている。佐川だけでなく、日本郵便を騙った同様の攻撃もあるようだ(市況かぶ全力2階建)。
こうした攻撃は今年1月より確認されているが(INTERNET Watch)、最近被害が急増している模様。
なお、これをNHKも報じているが、この記事については偽アプリをインストールできないiPhoneの画面を使って対処法を説明していたり、Android向けの対応も不適切であるとの批判も出ている。
紹介された対策がトレンドマイクロの主張垂れ流し (スコア:4, 興味深い)
「提供元不明のアプリをオフにする」という根本的な対策が提示されない。
その理由は、Android版ウイルスバスターのインストールに提供元不明アプリ許可が必要だから。
https://esupport.trendmicro.com/support/vbm/solution/ja-jp/1097203.aspx [trendmicro.com]
トレンドマイクロ早く消えてほしい。技術力の低さに加え数々の誤検知で謝れない体質なのが割れており害悪でしかない。
Re:紹介された対策がトレンドマイクロの主張垂れ流し (スコア:2)
何でこんなトンチキなことになってんだろう
技術力とか言う問題じゃないような
Playストアに置くには更新頻度が高すぎるとか?
Googleが特別扱いしてくれないならその程度かと言えるんかもしれないなぁ
Re: (スコア:0)
Google Playデベロッパープログラムポリシー [google.com]における危険なプロダクトに該当するのでPlay Storeに置けないのです。
Re:紹介された対策がトレンドマイクロの主張垂れ流し (スコア:2)
危険なプロダクトに該当することはわかります。
が、ウィルス対策ソフトを作ってる企業としては特別扱いしてもらいなさいよと
実際Windowsとかではやってもらってるわけですし。
特別扱いしてもらえないならアンチマルウェアソフトの必要性が低いとみなされているのか、
質が低いとみなされているか…
いずれにせよ社の主業務にかかわることについてこれでは交渉力が足りてないんじゃないかなと思う次第
もちろん頑張ってはいるのでしょうが、先々厳しそうだなぁと
Re: (スコア:0)
セキュリティを大幅に下げる設定をさせておいて、セキュリティ向上を謳うとか頭おかしいな。
しかもわざわざ個人情報収集の同意を二重に取ってから起動するのか…こいつらこそがセキュリティリスクだな。
アホ (スコア:3)
テレビでブラウザのサイト部分を「こんな所見ないですからねぇ」って言ってた。
見ないのが普通ってことの用に言うなよなぁ。
最低でも、「佐川急便はsagawa-expr.co.jpというドメイン名です。.co.jpで終わるドメイン名です。確認してください。」
(現在確認されているのは.comしかないし、多分.co.jpは取れないだろう。)
くらいは言え。
Re: (スコア:0)
なんで sagawa .co .jp じゃねえんだって思ったら、別の零細企業ぽいとこが取ってた。ウェブの設定超適当だし。
と思ったら、佐川急便の方が先にドメインとってんじゃん。最初から sagawa とってたらよかったのにな。社名のEXPRESSにこだわったか。
ちなみに、sagawa-exp.co.jp な。
iTunesカード(コード)を無断で購入するって (スコア:0)
ユーザーの承認行為なしにアプリが勝手に買うってできちゃうんだ。
Re:iTunesカード(コード)を無断で購入するって (スコア:2, すばらしい洞察)
> ユーザーの承認行為なしにアプリが勝手に買うってできちゃうんだ。
てゆうか、問題になっているのはGoogle Playを経由しない勝手アプリなんだから、その気になればなんだってできる。
iPhone だって jailbreak して Apple による審査を受けてないアプリを入れればやっぱりヤバいでしょ。
デフォルトだと Google Play 以外のアプリはインストールできないようになってるのに、
提供元不明アプリのインストールを許可してはいかんということを一切報じない
NHK とそれに入れ知恵しているトレンドマイクロはホントにダメ。
ついでにいまだに提供元不明アプリのインストールをさせている業者が存在するのもサイテー。
DMMとかな!
Re:iTunesカード(コード)を無断で購入するって (スコア:1)
iTunesのコード購入時の確認方法が、Androidではアプリの組み方次第ではユーザーに知られずにアプリだけでパスできちゃう
仕様になっているのは、Androidのセキュリティが甘いとあげつらうためのAppleの陰謀ではないかと、穿ってみるw
iOSでは電話機能にアクセスするAPIは非公開API [apple.srad.jp]なので、
「そんなことは起きませんよ。そう、iPhoneならね♡」と言える。
Re: (スコア:0)
開きなおったAndroidは、ユーザーが知らない間に裏で様々なアシスタント業務をしてくれるすごいやつなのである、とポジティブに穿ってみるw
Re: (スコア:0)
そこは卑屈にならなくてもほんまもんの利点よ。
例えばTakser [google.com]なんてのは
危ないほどに自由度のあるAndroidならではで実現できるアプリで、
Q「iPhoneで動くTakserの様なアプリを教えて」
A「そんなものはない」
というのはもはやFAQだ。
自由度と危険性はコインの裏表で、両方同時に手に入れるのは難しい。
安全側に振ったiPhoneと、自由側に振ったAndroidとが市場を分けていて、
消費者は自分に合ったものを選べるという今の状況は、よくバランス取れてると思う。
Re: (スコア:0)
非公開APIを使ったアプリはストアからリジェクトされますよ。
Re: (スコア:0)
Re: (スコア:0)
DMMは仕方ないでしょ、エロ系はgoogleが認めないんだから。
DMMのソフトでもエロ系でないものは、普通にplay storeにあるよ。
Re: (スコア:0)
DMMのスマホゲームは実は3段階あって
・18禁のXバージョン
・DMMの非18禁バージョン
・Google Playバージョン
の順にエロ度が下がっていく。
そしてXバージョンも言うほどエロくないという……
いわゆるエロゲーってスマホにはほとんど出てなかったような。
基本無料アイテム(orガチャ)課金のモデルがノベル系には相性悪すぎるし。
Re: (スコア:0)
らしい
https://twitter.com/NaomiSuzuki_/status/1023266643642744832 [twitter.com]
Re:iTunesカード(コード)を無断で購入するって (スコア:1)
だいたいAndroidの権限の区分がおかしいんだよな。
機器ID(シリアル番号)を得るのに必要な権限と、電話やSMSを自由にかけるのを許す権限がまとめて同じ権限グループに入っている。
なので端末のIDを使いたいアプリが、電話機能へのアクセス権限を要求するというのが普通になっていて、
ユーザーもそれに慣れっこになってつい許可してしまう。
ユーザーのアカウント情報へのアクセス権限が電話帳アクセス権限にまとめられていて、
ユーザーのIDを知りたいだけなのに、ついでに電話帳すべてを覗き見る権限が手に入ってしまうとか、
おおざっぱすぎるだろ。
メールのURLは信用しないようにしましょう (スコア:0)
フィッシングメールが流行ってた頃は、「メールに書かれているURLを信用しない」「ブラウザのお気に入り等からアクセスする」という対策がそれなりに普及していたし、メールにURLを載せるべきではないみたいな風潮もありましたけど、流行が終わったらそういう話は全然聞かなくなって、平気でメールにログインページのURLとか書いて送ってくるようになりましたね。なんででしょう?喉元過ぎれば熱さを忘れるという奴でしょうか?
ホンモノっぽいURL (スコア:1)
今回悪用されているのは
といった、いかにもそれらしいもの。佐川の正式URLである sagawa-exp.co.jp よりもホンモノっぽく見える。
スマホでURL確認のためにwhois調べるような人がいるとは思えん。
Re:ホンモノっぽいURL (スコア:3)
女房の携帯に来てました。
リンク先を開いてみたらテレビコマーシャルのまんまのサイトデザインだし、
apk ファイルに気が付かなかったら騙されるところでした。
メール文面も怪しくない日本語に直してありましたね。
Re: (スコア:0)
今のフィッシングは元のサイトをコピーして改変するからね
当然見た目はそっくりですよ。
Re: (スコア:0)
名前とサーバーは台湾人で、メールアドレスはyahoo.co.jpで、メアド自体は5月ぐらいに登録された別の掲示板スパム詐欺してるサイトでも使われている模様
Yahoo Japanのメールはフィッシング詐欺用のドメインでよく使われるけど、Yahoo側は取り締まりやってないのかね
Re: (スコア:0)
PCだったらダメだけどスマホだったら大丈夫と考えるんだろうな
Re:メールのURLは信用しないようにしましょう (スコア:2)
スマフォでHTMLメールだTメールアプリ開いてるのか、ブラウザを開いているのか一瞬では判断しにくいですからね。
Re:メールのURLは信用しないようにしましょう (スコア:2)
あ、今回はSMSか。
でもLINEのURLを安易に開く人は多いと思う。
ところで、androidのアプリって署名とかないんですか?
Re: (スコア:0)
> ところで、androidのアプリって署名とかないんですか?
ありますよ。
今回の話は、「提供元不明のアプリをオフにする」という操作をわざわざ行って、
署名の検証を無効にした場合にのみ起きる問題です。
で、NHKやトレンドマイクロがそういう危険な操作に注意を喚起してないので、
タレコミで言及されてる記事で叩かれているという流れ。
Re: (スコア:0)
PC使っても、そのひと手間は面倒。
仮にフィッシング踏んだとしても、Firefox様にパスワードを自動で入力して頂いているので、反応していなければ、ん?ってなる。
Re: (スコア:0)
ブックマークや検索でログインページ探して行くのは結構めんどくさいからなぁ。ユーザからの要望も多いことでしょう。
Re: (スコア:0)
こっちの人間なら常識だし、それ以外だと説明しても聞き逃すし。
いつものことじゃん。
E-mailにURL張り付けとかって、スマホ文化に毒された人だと「面倒だから」が理由の一つじゃないですかね。
別ウインドウで開いて何か作業するっていうのが、面倒でしかたないそうで。
また佐川か (スコア:0)
配達員は不潔感がすごいし、届く荷物は必ず箱がボロボロだし、
黙ってると再配達にも来ないで送り返すし、
ほんと、どうしようもない会社だな。
Re:ドット以降統一義務化 (スコア:1)
> 現在、反乱してる.comとか.bzとかバカみたい
中米ベリーズでクーデターでもあったのかとおもった。