~フリースウェアと呼ばれるこれらのアプリは、アプリストアの利用規約の抜け穴を悪用し、強引な手法により、AIアシスタントアプリの料金をユーザーに不正請求~

6月 7, 2023 —

Cybersecurity-as-a-Serviceを開発・提供するグローバルリーダー企業のソフォス(日本法人:ソフォス株式会社(東京都港区 代表取締役 中西 智行)は本日、正規のChatGPTをベースとしたチャットボットを偽装して、ユーザーに不正な請求を行い、毎月数千ドルを窃取するアプリを発見したことを発表しました。Sophos X-Opsが公開した最新のレポート「AIソフトへのユーザーの関心の高まりに付け入り現金を窃取するモバイルアプリFleeceGPT」で詳細を公開しています。これらのアプリは、Google PlayとApple App Storeの両方に表示されています。無料版ではほぼ全ての機能を利用することはできず、常に広告が表示されます。そして、不正なアプリであることを疑わないユーザーとサブスクリプション契約を交わし、年間数百ドルを請求します。

ソフォスの主任脅威リサーチャーのSean Gallagherは、このようなフリースウェアについて次のように述べています。「詐欺師は過去にも最新のトレンドやテクノロジーを利用してユーザーから利益を得てきましたが、それは今後も変わることはないでしょう。ChatGPTも例外ではありません。AIやチャットボットへの世間の関心が非常に高まっている中、多くのユーザーがApple App StoreやGoogle PlayストアでChatGPTのようなAIソフトをダウンロードしようとしています。これらの詐欺アプリは、“フリースウェア”と呼ばれ、ユーザーがサブスクリプションを契約するまで大量の広告を表示し、ユーザーが料金について注意散漫になる、あるいはサブスクリプション契約をしたことを失念することを狙っています。無料トライアルが終了した後には利用されないように設計されているため、ユーザーは月払いや週払いのサブスクリプション契約を交わしたことを気づかずにアプリを削除しています」

Sophos X-Opsは、これらのChatGPTベースのフリーウェアのうち、ChatGPTのアルゴリズムを使用していると謳っていたアプリを合計5つ調査しました。「Chat GBT」アプリのように、開発者がGoogle PlayやApp Storeでのアプリが上位ランキングに表示されることを狙って、ChatGPTの名前を騙ったケースも見られました。OpenAIはChatGPTの基本機能をユーザーにオンラインで無料提供していますが、これらのアプリは月10ドルから年70ドル程度課金していました。iOS版の「Chat GBT」(AIアシスタントソフト)は、3日間の無料体験の後で1週間に6ドル、1年間では312ドルを課金しており、開発者に3月だけで1万ドルの利益をもたらしました。別のフリースウェアである「Genie」アプリは、週7ドルまたは年70ドルのサブスクリプション契約をユーザーと交わしており、この1カ月で100万ドルの利益を出しています。

フリースウェアアプリ(リンク先英語) は、ソフォスが2019年に初めて発見しました(リンク先英語)。これらのアプリの主な特徴は、他ではすでに無料で提供されている機能を提供してユーザーに課金したり、ソーシャルエンジニアリングや強引な手法で、定期的なサブスクリプションにユーザーを登録して課金させるように誘導することです。通常、これらのアプリは無料のトライアル版を提供していますが、多くの広告が表示され、機能にも制限が課せられており、サブスクリプションを契約して支払うまでは実際に使用することはほぼできません。このようなアプリは、その設計や実装が不十分であることも多く、ユーザーが有料版に移行した後も、アプリの機能を十分に利用できないことも多くあります。また、偽のレビューや、アプリを使用する前や無料体験が終了する前にユーザーに執拗に評価を求めることで、アプリストアでの評価を不正に高めているケースもあります。

「フリースウェアは、そのサービスについてGoogleやAppleが許可している制限事項を辛うじて守りながら、セキュリティやプライバシールールに違反しないように周到に設計されており、ストアの審査で拒否されることはほとんどありません。GoogleとAppleは、新しいガイドライン(リンク先英語)を導入していますが、開発者は、ユーザーが使用料金を払わない限りアプリの使用や機能を厳しく制限するなど、これらのガイドラインを回避する方法を見出しています。本レポートで取り上げたChatGPTベースのフリーウェアの中には、すでに削除されたものもありますが、今後も次々と登場し、さらに増える恐れがあります。このような問題に防ぐ最良の保護策は、ユーザーを教育することです。ユーザーは、このようなアプリが存在することを認識し、「購読」ボタンをクリックするときには、必ず詳細な規約を確認しなければなりません。開発者が非倫理的な方法で利益を得ていると感じた場合には、AppleやGoogleに問題のあるアプリとして報告することができます」と先述のGallagherは述べています。

本レポートで調査の対象となったアプリはすべてAppleおよびGoogleに報告済みです。すでにこれらのアプリをダウンロードした場合、App StoreまたはGoogle Playのガイドラインに従って、サブスクリプションを解除する必要があります。フリースウェアアプリを削除するだけでは、サブスクリプションは無効になりません。

偽のChatGPTアプリの詳細と回避方法については、Sophos.comで「AIソフトへのユーザーの関心の高まりに付け入り現金を窃取するモバイルアプリFleeceGPT」の記事を参照してください。

ソフォスについて

ソフォスは、MDR (Managed Detection and Response) サービス、インシデント対応サービス、およびエンドポイント、ネットワーク、メール、クラウド セキュリティ テクノロジーの幅広いポートフォリオなど、サイバー攻撃を阻止する高度なセキュリティソリューションを提供する世界的なリーダーであり、革新的な企業です。ソフォスは、最大手のサイバーセキュリティ専門プロバイダーの 1つであり、全世界で 60万以上の組織と 1億人以上のユーザーを、アクティブな攻撃者、ランサムウェア、フィッシング、マルウェアなどから保護しています。ソフォスのサービスと製品は、Sophos Central 管理コンソールを介して接続され、企業のクロスドメイン脅威インテリジェンスユニットである Sophos X-Ops を利用しています。Sophos X-Ops のインテリジェンスは、Sophos ACE (Adaptive Cybersecurity Ecosystem) 全体を最適化します。このエコシステムには、お客様、パートナー、開発者、その他のサイバーセキュリティおよび情報技術ベンダーが利用できる豊富なオープン API セットを活用する一元化されたデータレイクが含まれます。ソフォスは、フルマネージド型のソリューションを必要とする組織に、Cyber​​security-as-a-Service を提供します。お客様は、ソフォスのセキュリティ運用プラットフォームを使用してサイバーセキュリティを直接管理することも、脅威ハンティングや修復などソフォスのサービスを使用して社内チームを補完するハイブリッドアプローチを採用することもできます。ソフォスは、リセラーパートナー、MSP (マネージド サービス プロバイダ) を通じて販売しています。ソフォス本社は英国オックスフォードにあります。詳細については www.sophos.com をご覧ください。