情報セキュリティ
公開日:2019年12月24日
独立行政法人情報処理推進機構
セキュリティセンター
App Store以外の配信アプリによるセクストーション被害を確認
ー iPhoneの公式マーケット以外からのアプリインストールに注意 ー
IPAではこれまでにセクストーション(性的脅迫)に関する相談事例の紹介や注意喚起を行ってきました(脚注1)。
セクストーションとは、「sex(性的な)」と「extortion(脅迫)」を組み合わせた造語で、被害者のプライベートな動画や写真を入手して、それをばらまくなどと脅して金銭などを要求する手口を意味します。
セクストーション被害の相談は、2014年7月から累計で86件寄せられており、そのうち2019年は12月23日時点で17件です。
これまでにIPAに寄せられた相談事例では以下の手口がありました。
2019年12月にはiPhoneを脱獄させることなく「App Store」以外から不正アプリをインストールさせる手口が確認されました。
そこで、最近確認された手口と、被害にあわないための対策について解説します。
手口は主に以下の流れでした。
なお、金銭を支払った後も恐喝され続けるケースや、金銭の支払いに応じたかどうかによらず動画をばらまかれるケースも確認されています。
iPhoneのアプリは、通常、開発者がApple公式マーケットである「App Store」に公開して配信することで、ユーザが利用できるようになります。しかし、1.の手口で使用された不正アプリは、App Storeで配信されているものではありませんでした。
企業や組織で社内用アプリを配信するための仕組みである「Apple Developer Enterprise Program(脚注4)。」を悪用して、App Store以外のサイトでアプリを配信していると考えられます。
今回IPAで検証した不正アプリはスマートフォン端末内の連絡先データへのアクセス権限を有していましたので、アプリをインストールして、アプリの信頼に関する設定を行ってしまうと、連絡先のデータが窃取される可能性があります。
今回確認された不正アプリのインストールの流れ(iOS 12.4.4)を下記に説明しますが、このような操作を行って不正アプリをインストールしないようにしてください。
(脚注4)「Apple Developer Enterprise Program」(外部サイトに接続します)
セクストーションの被害に遭った場合は、相手に対して連絡することは避け、警察へ相談してください。
警察庁:都道府県警察本部のサイバー犯罪相談窓口等一覧(外部サイトに接続します)
不正アプリがインストールされている間は、スマートフォンは電源を切るか、機内モードにして通信を遮断してください。また、警察に相談する際は、アプリと、LINE等のやり取りは削除せず、証拠として残しておくことお勧めします。最終的にはスマートフォンは初期化してから使用してください。
相手の手の内に渡った動画や連絡先の情報を、取り戻したり削除させることは極めて困難です。
(脚注5)不審な構成プロファイルをインストールした場合、「端末内の設定が変更される」、「端末の固有情報が外部に送信される」といった可能性が考えられます。
IPAセキュリティセンター 情報セキュリティ安心相談窓口
URL
記載されている製品名、サービス名等は、各社の商標もしくは登録商標です。
2019年12月24日
掲載