~ソフォスが公開した最新のレポートで、Apple App Store のアプリ審査をくぐり抜けた方法など、CryptoRom 詐欺の最新情報を解説~

3月 9, 2023 —

Cybersecurity-as-a-Serviceを開発・提供するグローバルリーダー企業のソフォス(日本法人:ソフォス株式会社(東京都港区 代表取締役 中西 智行)は本日、CryptoRom詐欺について新たに判明した情報を公開しました。ソフォスは、出会い系アプリのユーザーを騙して、架空の暗号通貨投資に巻き込む金融詐欺の手口を、最新のレポート「AppleとGoogleのアプリストアに忍び込む詐欺用の仮想通貨取引アプリ」で詳しく解説しています。このレポートでは、Apple社の厳格なセキュリティプロトコルを回避することに成功した最初の偽の暗号通貨取引アプリであるAce ProとMBM_BitScanについて詳しく説明しています。サイバー犯罪者はこれまで、Apple App Storeが認可していない違法なiPhoneアプリをダウンロードするように被害者に説得するという回避手段を用いていました。ソフォスはAppleとGoogleに速やかに通知し、両社はその後、各ストアから不正なアプリを削除しています。

ソフォスの上級脅威リサーチャーであるJagadeesh Chandraiahは次のように述べています。「Apple App Storeのセキュリティ審査プロセスは厳格であり、マルウェアを通過させることは至難の業です。当初ソフォスがiOSユーザーを標的としたCryptoRom詐欺の調査を開始した時には、詐欺師は偽の取引アプリをインストールするために、まず構成プロファイルをインストールするようユーザーを説得する必要がありました。これには、ソーシャルエンジニアリングの手法が求められ、このハードルを乗り越えて攻撃を行うことは困難でした。標的となった多くのユーザーは、正規のように偽装したアプリを直接ダウンロードできないため、何かが不自然だと感づくことになります。多くのユーザーがApple社を信頼していることから、アプリをApp Storeに掲載できれば、詐欺師は被害者を大幅に増やすことが可能になります。また、これらの両方のアプリは、詐欺師がソーシャルエンジニアリングに役立つモバイルプロファイルを読み込むのを防ぐためにiOSに新しく導入されたロックダウンモードの影響を受けません。実際、これらのCryptoRomの詐欺師は、ロックダウンのセキュリティ機能を念頭に、App Storeの審査プロセスを回避することに重点を置くなど、その手口を変えている可能性があります」

例えば、Ace Proで信用させて騙した被害者を誘い出すために、詐欺師はロンドンで贅沢な暮らしをしていると思われる女性の偽のプロフィールと人格を作り出し、維持していました。詐欺師は、被害者と信頼関係を築いた後、被害者に不正なAce Proアプリをダウンロードするように勧めています。このアプリから暗号通貨詐欺が行われます。

Ace Proは、アプリストアではQRコードスキャナと説明されていますが、実際は詐欺のための暗号通貨取引アプリです。このアプリを一度開くと、ユーザーは暗号通貨を入出金できるはずの取引用のインターフェースを見ることができます。しかし、入金されたお金はそのまま詐欺師の手に渡ります。App Storeのセキュリティを突破するため、詐欺師は、アプリを審査に出す時に、正しいQRスキャン機能を掲載しているリモートWebサイトに接続させた可能性があります。このドメインにはQRスキャンのコードが含まれており、アプリの審査担当者に正規のアプリのように見せかけています。しかし、アプリが承認された後には、アプリをアジアで登録されたドメインにリダイレクトさせています。このドメインは、別のホストのコンテンツで応答するリクエストを送信しており、最終的に偽の取引アプリを提供しています。

MBM_BitScanはAndroid用のアプリでもありますが、Google PlayではBitScanという名前になっています。この2つのアプリは、同じC2インフラと通信しています。このC2インフラは、日本の正規の暗号通貨取引企業に似せたサーバーと通信します。それ以外の悪意のある操作はすべてWebインターフェースで処理されるため、Google Playのコードレビューの担当者が不正を見抜くのは困難だったはずです。

CryptoRomとは、「豚の屠殺」と呼ばれるサイバー詐欺の一種で、恋愛を装ったソーシャルエンジニアリングと不正な暗号通貨取引アプリやWebサイトを組み合わせて、被害者を誘い出し、時間をかけて信用を得てからお金を奪う、組織的な詐欺の手口です。ソフォスでは、数百万ドルを奪ってきたこれらの詐欺を2年間にわたって追跡調査し報告しています。

CryptoRomとこれらの不正なアプリの背後にいる犯罪者の詳細については、「AppleとGoogleのアプリストアに忍び込む詐欺用の仮想通貨取引アプリ」のレポートをSophos.comで参照してください。

ソフォスについて

ソフォスは、MDR (Managed Detection and Response) サービス、インシデント対応サービス、およびエンドポイント、ネットワーク、メール、クラウド セキュリティ テクノロジーの幅広いポートフォリオなど、サイバー攻撃を阻止する高度なセキュリティソリューションを提供する世界的なリーダーであり、革新的な企業です。ソフォスは、最大手のサイバーセキュリティ専門プロバイダーの 1つであり、全世界で 60万以上の組織と 1億人以上のユーザーを、アクティブな攻撃者、ランサムウェア、フィッシング、マルウェアなどから保護しています。ソフォスのサービスと製品は、Sophos Central 管理コンソールを介して接続され、企業のクロスドメイン脅威インテリジェンスユニットである Sophos X-Ops を利用しています。Sophos X-Ops のインテリジェンスは、Sophos ACE (Adaptive Cybersecurity Ecosystem) 全体を最適化します。このエコシステムには、お客様、パートナー、開発者、その他のサイバーセキュリティおよび情報技術ベンダーが利用できる豊富なオープン API セットを活用する一元化されたデータレイクが含まれます。ソフォスは、フルマネージド型のソリューションを必要とする組織に、Cyber​​security-as-a-Service を提供します。お客様は、ソフォスのセキュリティ運用プラットフォームを使用してサイバーセキュリティを直接管理することも、脅威ハンティングや修復などソフォスのサービスを使用して社内チームを補完するハイブリッドアプローチを採用することもできます。ソフォスは、リセラーパートナー、MSP (マネージド サービス プロバイダ) を通じて販売しています。ソフォス本社は英国オックスフォードにあります。詳細については www.sophos.com をご覧ください。