情報セキュリティ
公開日:2019年9月18日
最終更新日:2022年10月25日
独立行政法人情報処理推進機構
セキュリティセンター
スマートフォンで偽のセキュリティ警告からアプリのインストールへ誘導する手口に注意
意図せずアプリの自動継続課金の契約をしていないか、確認を
2022年10月25日追記
本手口については、下記の安心相談窓口だよりが最新となりますので、そちらもあわせてご確認ください。
「スマートフォンでウェブサイトを閲覧中に突然『ウイルスを検出した』などのセキュリティ警告が表示された」という相談が寄せられています。偽のセキュリティ警告の指示に従って操作を進めると、アプリのインストールへ誘導される手口です。
同様の相談はこれまでも寄せられており、IPAでは2016年7月に注意喚起を行いました (脚注1)。2018年より減少傾向にあり同年末頃からは相談件数は一桁が続いていましたが、2019年6月に10件、7月に14件と増加しました。
また当初はAndroid端末に無料アプリをインストールさせる手口がほとんどでしたが、最近はAndroid端末に関する相談は減少し、iPhoneやiPadなどのiOS端末(以下iPhone)に自動継続課金 (脚注2)の有料アプリをインストールさせる手口の相談が増えています。
そこであらためて、これまで確認されている手口と、被害に遭わないための対策について解説します。
(脚注1) 「ウイルス感染したという警告でアプリのインストールを誘導する手口が急増」
(脚注2) 「一定の利用期間ごとに定額を支払う料金方式、且つ、利用契約が自動更新される」という意味で、当記事では用いています。なお、「一定の利用期間ごとに定額を支払う料金方式」は、Androidでは「定期購入」、iPhoneでは「サブスクリプション」と呼ばれます。
スマートフォンでウェブサイトを閲覧中に、突然画面が切り替わり、セキュリティ警告のポップアップやウェブページが表示されます。この警告は偽物であり、内容は根拠があるものではありません。
<偽のセキュリティ警告の例>
表示された画面の指示に従って操作を進めると、公式ストアに掲載されているアプリへ誘導されます。誘導先のアプリは複数確認されていますが、いずれも何らかのセキュリティに関する機能を持つアプリであると説明されています。
この手口の目的は不明ですが、「利用者にアプリをインストールさせることによる報酬(PPI:Pay Per Install)」を得ようとするアフィリエイト(成果報酬型広告)と考えられています。なお、セキュリティ警告の出力元(広告主)と誘導されるアプリの開発元との関係は判明していません。
最近は、誘導先のアプリが、自動継続課金の有料アプリであるケースが増えています。また、その利用料金は、週毎に1,000円以上など、短い期間で高額な設定になっている場合が多くみられます。
自動継続課金は、誘導されたアプリをインストールして起動したあと、自動継続課金である旨の確認メッセージに対しID・パスワードの入力などによる認証をして承認することで、登録されます。この登録は、アプリをアンインストールしただけでは解約されません。解約の手続きを行っていなかったために、利用料金が発生してしまったという相談も寄せられています。
偽のセキュリティ警告が表示された場合は、ブラウザのタブを閉じる、または、ブラウザを終了し閲覧履歴を削除することで対処できます。
アプリが必要でない場合は、アンインストールをしてください。また、自動継続課金の登録がある場合は、下記のヘルプページを参照して解約してください。
セキュリティ警告画面が表示された際は、まずは警告内容が本物(自身でインストールしているセキュリティアプリや、ブラウザの機能による表示)かどうかを確認してください。特に、アプリなどのインストールや情報入力を促す内容の場合は、偽の警告である可能性を踏まえた慎重な対応が必要です。
また、あらかじめ、ブラウザの終了方法など、自身が使用しているスマートフォンの基本操作を把握しておきましょう。落ち着いた対処をしやすくなります。
安易にアプリをインストールしてしまうと、思わぬトラブルにつながる可能性があります。日頃から、アプリをインストールする前に、アプリの開発元、機能説明、利用料金、利用規約などを確認する習慣をつけてください。
アプリのインストール時や初回利用時などに重要な確認事項が表示される場合もありますので、油断せずよく読みましょう。
本手口に関する検証動画をYouTubeに投稿しておりますので、合わせてご覧ください。
IPAセキュリティセンター 情報セキュリティ安心相談窓口
URL
記載されている製品名、サービス名等は、各社の商標もしくは登録商標です。
2022年10月25日
最新の安心相談窓口だよりの案内を追記
2021年12月8日
5. 手口検証動画を追記
2019年9月18日
掲載