タグ別アーカイブ: スマホ|不正アプリ

不正決済アプリで初摘発、容疑者2人逮捕 (警視庁サイバー犯罪対策課)

投稿日: 投稿者:
返信

<“86万円相当”電子書籍を不正アプリで購入偽装>狩野貴仁容疑者(33)は去年8月、長崎県島原市の自宅などで、紀伊國屋書店の電子書籍の販売サイトからパソコン関連の書籍など187点、15万6500円相当を不正にダウンロードした疑いが持たれている。警視庁によと、狩野容疑者は、海外のサーバーから入手した不正なアプリを使い、購入代金を支払ったようにみせかけていた。去年8月以降、900点以上、86万円相当の電子書籍をだまし取ったとみられ、取り調べに対し、「手当たり次第やろうとした」と容疑を認めている。(FNN 06/03 18:40 http://news.tv-asahi.co.jp/news_society/articles/000006489.html)

86万円相当電子書籍を不正アプリで購入偽装不正決済アプリで初摘発、警視庁が容疑者2人逮捕
(日経 2013/6/3 21:58)

決済を偽装する機能を持つ不正アプリなどを使って「紀伊国屋書店」(東京・目黒)のサイトから電子書籍をだまし取ったとして、警視庁サイバー犯罪対策課は3日までに、長崎県島原市宮の町、団体職員、狩野貴仁容疑者(33)大阪府豊中市東豊中町の会社員、菊沢秀和容疑者(41)電子計算機使用詐欺容疑で逮捕した。同課によると、こうした不正アプリの使用を巡る同容疑の摘発は全国初という。

紀伊国屋書店の電子書籍販売サイト「キノッピー」は国内最大級。同書店では昨年6月から11月にかけ、約160個のIDから電子書籍約3万6千点(約2170万円相当)が不正購入されていた。今回の事件と同じ機能を持つ不正アプリによる被害も含まれているとみられ、同庁はほかの不正購入者などの捜査を進める。

紀伊国屋書店はセキュリティーを強化しており、現在は不正アプリを使った決済はできなくなっているという。

狩野容疑者の逮捕容疑は昨年8月、アップル向けの不正決済アプリ「iAP Cracker」を使い、「キノッピー」のサーバーに支払いが完了したという虚偽の情報を送信し、電子書籍187点(15万6500円相当)をだまし取った疑い。同課によると、狩野容疑者は昨年8月から10月までの間、電子書籍918点(約86万円相当)を不正に取得したとみられる。

一方、菊沢容疑者の逮捕容疑は昨年10月、不正決済を請け負う機能を持つ海外の課金処理サーバーに接続する方法で、電子書籍72点(約4万9千円相当)をだまし取った疑い。

狩野容疑者が使った不正アプリ「iAP Cracker」は、オンラインショッピングで、実際には決済していないのに課金の手続きが終了したかのように店側のサーバーを誤信させる機能がある。iPhoneやiPadなどアップル製の端末が搭載する基本ソフト「iOS」でしか起動しない。

アップルから認可を受けていないため、正規のコンテンツ配信サービス「アップストア」からはダウンロードすることができない。

電子書籍の購入前、狩野容疑者は、アップルが認可していないアプリを入手できるようにする技術「ジェイル・ブレイク」を使い、不正アプリ「iAP Cracker」を自分のiPadにダウンロードしていた。

セキュリティー会社幹部によると、「ジェイル・ブレイク」は通称「脱獄アプリ」と呼ばれ、アップル製端末利用者の一部で流行しているという。

http://www.nikkei.com/article/DGXNASDG0303H_T00C13A6CC1000/

「電子計算機使用詐欺容疑」で逮捕されたというが、ものが本なので「バーチャル万引き」と言いたい。 違法ダウンロードと表現している報道があるが、動画の違法ダウンロードと同列に受け取ってしまう人がいるとも限らないので語弊がある。 電子取引の決済をごまかしているので詐欺だ、明らかな犯罪なのだ。 買ったらカネを払う。 販売しているものを金を払わずに商品を手に入れたら、万引きやドロボーだ。 仮想世界は「ドロボーをしているんだ」という現実感を麻痺させる危険性が大きい。 気をつけましょ!

毎日新聞の報道では「インターネットの掲示板サイトでは昨夏、「キノッピーで普通に使える」「請求のないクレカ(クレジットカード)を持ったも同然」などの書き込みが相次いでいた。」だそうだが……

紀伊国屋書店 「Kinoppy」(キノッピー)のサイト紀伊国屋書店 「Kinoppy」(キノッピー)のサイ
⇒ http://k-kinoppy.jp/index.html

紀伊国屋書店ウェブストアHP
⇒ http://www.kinokuniya.co.jp/

さて、ジェイルブレイクとか脱獄アプリとは一体何だろうか? スマホ(iPhone)を持っていない私には「ナンダそれ?」なのだ。 そこでチョット調べてみた――

■ Jailbreak(ジェイルブレイク)とは?

☛ ユーザー権限に制限を設けているコンピュータ(携帯電話やゲーム機など)に対して、セキュリティホールを突くなどしてその制限を取り除き、開発者が意図しない方法でソフトウェアを動作できるようにすること。また、その状態のこと。日本語で脱獄(だつごく)とも呼ばれる。 この語は、一般的にはアップル社のiOS機器(iPhoneなど)に対して、アップルの認可を受けていないソフトウェア(App Storeで流通していないアプリ)を動作可能にすることを指す。 その他、家庭用ゲーム機のプレイステーション3においても、専用のUSBドングルを挿してソフトのバックアップや起動、自作ソフトの起動等を可能にするソフト及びUSBドングルそのものの名称として使われている。

■ iOSのJailbreak

☛ iPhoneまたはiPod touchにインストールできるソフトウェア(アプリケーションと呼ばれる)は、アップルが認可したアプリケーションを販売している窓口(App Store)で入手したソフトウェアのみである。 Jailbreakツールは 非認可のソフトウェアをインストール可能にし、またソフトウェアのインストーラを追加するように端末のOSを書き換える。 この行為を行うと、アップルからのサポートを受けられなくなる場合があり、端末自体の故障や自由にアプリケーションを追加できる故にコンピュータウイルスなどのマルウェアの標的にされる危険性がある。ただし再び入獄したら、アップルのサポートを受けられる。

■ アップルの見解

☛ アップルはJailbreakについてこれまでコメントを避けていたが、2009年2月に「Jailbreakが、著作権で保護されているファームウェアを無効にする行為は、アップルの著作権やデジタルミレニアム著作権法に違反する」というコメントをアメリカ著作権局に提出した。

☛ ただし、アメリカの非営利組織であるElectronic Frontier Foundation(EFF)が、Jailbreak行為をデジタルミレニアム著作権法から免除する要請をアメリカ著作権局に2008年12月申請し[3]、2010年7月に「ユーザーが合法的に入手したアプリケーションなどを実行するためにJailbreakする行為」や「携帯電話を他の携帯キャリアに接続させるためのJailbreak」などは合法との判断を下している。 また、アップルが米国特許商標庁に提出したiPhone関連の特許出願図の中に、Jailbreak後に利用できるiPhoneアプリの名称が掲載されており、物議をかもした。 Appleはこの現状(Jailbreak)する事に対して、対策を行おうとアップデートを繰り返すが、プログラミングの都合上あるセキュリティーホール・脆弱性を塞ごうとするとまた、新しい脆弱性が生まれてしまうので今の所いたちごっこ状態になっている。 Appleの現在のCEOであるティム・クックは今年(2013)のD11にて、「iOSをもっとオープンなものにする」と発言したが、システムレベルのオープン化は行われないようなので、将来的にJailbreakはなくないものと思われる。

(出典: Wikipedia 「Jailbreak(ジェイルブレイク)」 http://ja.wikipedia.org/wiki/Jailbreak

それで、ジェイルブレイクするには具体的にはどうやるんだ、好奇心が強いのですぐ知りたくなる。 「lifehacker」(ライフハッカー)のサイトに掲載されていた記事を読んで見た。 参考までに――

「ifehacker」(ライフハッカー)ジェイルブレイク関連記事リンク

■ ジェイルブレイクする前に知っておきたい、4つのデメリット
■ 怖いくらいに簡単にiOSデバイスがジェイルブレイクできてしまう『Greenpois0n』
■ iOSデバイスのジェイルブレイク必勝ガイド! (iOS 4.3.1用)
■ iOS 5が完全脱獄できるまで、ジェイルブレイクせずに耐え忍ぶための知恵
■ 噂の『iCloud』と同じ機能を今すぐ使う別の方法(要ジェイルブレイク)

スマホ<悪質アプリ>にご注意!逮捕、しかし不起訴で復活?|一時おとなしくしていたが、今年に入って不正アプリが再稼働し始めている。知らぬ間に「情報提供」同意してないかい?

投稿日: 投稿者:
返信

「不正アプリを使ってスマートフォンの個人情報を抜き取る手口が、昨年末から再び活発化していることがわかった。警察が不正アプリの摘発に乗り出した昨年夏以降、動きが止まっていた。 同種の事件の起訴が見送られたことが背景にあるのではないかと、セキュリティー専門家たちはみている。」という記事が今朝の朝日新聞紙面版(社会)に大き取り上げられていた。

悪質アプリにご注意(逮捕者写真)昨年10月30日に、IT関連会社「アドマック」元会長ら男女5人が逮捕された事件を覚えているだろうか? ウイルスを仕込んだ動画再生アプリ「ぴよ盛り the Movie」を無料配信し、約1183万件の電話番号やメールアドレスなどがアド社側に流出した事件だ(後段に詳細掲載)。 その後どうなったか? 東京地検は昨年11月20日に処分保留で5人を釈放。 結局、東京地検は12月26日に、証拠不十分で不起訴処分とした。 時を同じくして、「不正アプリ」、「悪質アプリ」の動きがまたまた活発になってきたようだ。

不正アプリは年明け以降、勢いを増している。 米ウイルス対策大手「シマンテック」は1月上旬、九つの不正アプリを発見。 解析を進めると、東京地検が不起訴処分を発表した翌日にサーバーが契約され、そこから計18の不正アプリが作られていたという。

このブログ記事を読んでいる皆さん、用心、用心! アプリ導入前に説明書きをよーく読み、「情報提供」の項目が書かれていないか確認して同意ボタンを押そう。 くれぐれも、確認しないで同意ボタンを押すなどという事の無いように。 確認しないと、知らぬ間に「情報提供」に同意してしまっているかも知れない ⇒ 個人情報を抜き取られる。 用心、用心!

悪質アプリにご注意(朝日2013-2-24)以下、朝日の記事をクリップ、ついでに昨年の逮捕時の記事をクリップ―――

悪質アプリにご注意 <スマホ情報流出、規約が逃げ道>
(朝日紙面版 2013-2-23 35面「社会」)

不正アプリを使ってスマートフォンの個人情報を抜き取る手口が、昨年末から再び活発化していることがわかった。警察が不正アプリの摘発に乗り出した昨年夏以降、動きが止まっていた。 警察が不正アプリの摘発に乗り出した昨年夏以降動きが止まっていた。 同種の事件の起訴が見送られたことが背景にあるのではないかと、セキュリティー専門家たちはみている。

悪質アプリにご注意・図1
● 「不起訴」で復活?

「このアプリ、生きていたのか」――。情報セキュリティー会社「ネットエージェント」の杉浦隆幸社長は昨年12月上旬、1通の迷惑メールを受信した。

ウイルス対策ソフトをうたった「安心スキャン」。スマホ内の電話帳のメールアドレスを流出させる不正アプリだ。1週間ほど前に「おとり」のスマホに導入したところ、出会い系業者から迷惑メールが届いた。

この不正アプリは7月から疑っていたが、その時は導入しても何も起きなかった。警視庁が、アダルト動画のアプリで電話帳データなどを収集したとして、会社役員ら6人を逮捕するなどしていた時期と重なる。

それが12月、安心スキャンを導入しようとすると、画面に「利用規約」が現れるようになった。長文の規約の末尾には「電話帳のアドレスを読み取り、外部に送信する可能性がある」と短い断り書きがあった。

杉浦社長には思い当たる節がある。別の事件で警視庁に逮捕され、その後の調べで約1183万件の個人情報を抜き取ったとされるネット関連会社の元会長ら5人について、東京地検が11月20日、処分保留で釈放した。アプリを導入する際、連絡先データの読み取り許可を求めるメッセージを表示していたため、利用者の意図に反して情報が流出したといえるか慎重な判断に傾いた。最終的に12月26日、不起訴処分とした。

「時期から言って、不正アプリ側が事件の結果を見て対策をとってきたとしか思えない」と杉浦社長。

こうした不正アプリは年明け以降、勢いを増している。米ウイルス対策大手「シマンテック」は1月上旬、九つの不正アプリを発見。解析を進めると、東京地検が不起訴処分を発表した翌日にサーバーが契約され、そこから計18の不正アプリが作られていた。

年賀状作成やアラームなど別の機能をうたっているが、いずれも導入画面の中ほどに「連絡帳データを読み取る可能性があります」と短い断り書きがあり、電話帳のメールアドレスを抜き取る機能しかなかった。すでに3千人超がダウンロードし、最大約45万件の個人情報が流出した可能性があるという。同社の浜田譲治マネジャーも「事件の不起訴が引き金になった可能性が高く、以前と手口が全く同じだ。断り書きさえ入れれば通用すると受け止めたのだろう。こうした不正アプリは増え続けるのでは」と指摘する。(須藤龍也)

悪質アプリにご注意・図2◆ ボタン押した瞬間「情報提供に同意」

アプリ導入画面に「データを読み取る可能性」などの説明を加えれば、個人情報の収集は許されるのか。慶応大総合政策学部の新保史生准教授(憲法・情報法)によると、警察が摘発容疑の一つとした不正指令電磁的記録供用罪の成立には、アプリが利用者の意図に反する動作をすることが条件だ。また個人情報保護法は第三者への情報提供に本人の同意を義務づけている。それでも、「アプリの導入ボタンを押した瞬間、説明書きに同意した形となり、法的には不正アプリとみなされなくなる可能性がある」という。

対応策として▽アプリが電話帳などにアクセスする「許可」「不許可」を利用者が選択する▽第三者がアプリに不正がないか審査する、などの仕組みづくりを提案。新保准教授は「誰もがスマホを使う時代になり、自己防衛だけに頼るのは限界がある。安心、安全にスマホを使える統一した環境が必要だ」と訴える。

■ 2012年に摘発された不正アプリをめぐる事件

<6月> アダルト動画アプリでスマホの電話番号やメールアドレスを収集したなどとして、警視庁がネット関連会社役員ら男6人を逮捕

<10月> 電話帳データを抜き取る不正アプリをサーバーに保管したとして、京都府警が出会い系サイト関連会社役員ら2人を逮捕。調べで400万件の情報流出が判明

<10月→12月> ゲーム動画アプリで電話番号やメールアドレスを収集したとして、警視庁がネット関連会社の元会長ら5人を逮捕。調べで1183万件の情報流出が判明

☛ 東京地検は嫌疑不十分で不起訴に。導入の際、「連絡先データの読み取り」許可を求めるメッセージが表示され、利用者の意図に反して読み取られたことの立証が難しいと判断

■ シマンテックが認定した主な不正アプリ一覧リスト

悪質アプリにご注意・図3セーフ・バッテリー
最速充電
チェック
年賀状・メイカー
みらくるフェイス
100%絶対起床
アプリ福袋
まるごとアイフォンコンバーター
芸能人ゴシップまとめエビ
バッテリー・キーパー
スマホワンセグ
どこでもWi-Fi
迷惑メールブロック
放電王
神アプリまとめ

では、IT関連会社「アドマック」元会長ら男女5人による事件とはどんなものだったのか、振り返ってみよう。 「不起訴処分なのに?」と思う方がいるかも知れないが、彼ら5人は逮捕前にPCのデーター破棄などの証拠隠滅をやっていた。 ということで、逮捕し証拠品を押収したものの立件できる証拠が消えていたのだ――

アドマック・不正アプリ1アドマック・不正アプリ2 アドマック・不正アプリ3スマホ情報1千万件流出 不正アプリ配信容疑でIT会社元会長ら逮捕
(産経 2012.10.30 22:12)

スマートフォン(高機能携帯電話)に登録された個人情報を無断で外部に送信するアプリがインターネット上で公開されていた事件で、警視庁サイバー犯罪対策課は30日、不正指令電磁的記録(ウイルス)供用容疑で、アプリを作成したIT関連会社「アドマック」元会長、奧野博勝容疑者(36)=東京都港区赤坂=ら男女5人を逮捕した。奧野容疑者は認否を留保しているという。スマホからの大量の個人情報流出が立件されたのは初めて。

同課によると、同社が作成したアプリは少なくとも約9万人のスマホに取り込まれ、約1183万件の電話番号やメールアドレスなどがアド社側に流出した。同課は、アド社が運営していたとみられる出会い系サイトなどの勧誘に悪用されていたとみている。

逮捕容疑は3月下旬、IT大手「グーグル」の公式アプリ配信サイトに、スマホの個人情報を外部に送信させるウイルスを仕込んだ動画再生アプリ「ぴよ盛り the Movie」を無料配信。4月初旬に都内の女子大生(20)にダウンロードさせたとしている。

同サイトには「連絡先データの読み取り」とする表示はあったが、電話帳のデータ全体を読み取ることは明示していなかった。

奥野容疑者らは情報流出の発覚後にアド社を清算。社内のパソコンのデータや文書を破棄していたが、残っていたパソコンからは不正アプリが約50種類も発見されたという。

http://sankei.jp.msn.com/affairs/news/121030/crm12103022130027-n1.htm

アプリを悪用したスマホ個人情報不正取得の仕組み 図解
スマホ個人情報不正取得の仕組み図解

情報流出アプリで5人逮捕 スマホから1180万件
供用容疑で警視庁
(日経 2012/10/30 20:48)

スマートフォン(高機能携帯電話=スマホ)の電話帳に登録された個人情報を抜き取るアプリ(ソフト)がインターネットで配信された事件で、警視庁サイバー犯罪対策課は30日、IT関連会社の元経営者ら5人を不正指令電磁的記録供用容疑で逮捕した。抜き取られた電話番号やメールアドレスなどの個人情報は約1180万件に上るという。アプリを巡り、大規模な個人情報流出事件が立件されるのは初めて。

逮捕されたのはIT関連会社「アドマック」(東京)元会長、奥野博勝容疑者(36)=東京都港区赤坂4=、元社長、玉井裕理容疑者(28)=渋谷区松濤2=ら5人。

同課によると、奥野容疑者は「よく考えてから話す」と認否を留保。玉井容疑者は「調査目的のアプリとは聞いていたが、犯罪に関わるものとは思わなかった」と容疑を否認している。残る3人は容疑を認めている。

アドマックは出会い系サイトなどを運営していたとみられ、同課は奥野容疑者らが出会い系サイトへの勧誘などに個人情報を利用する目的で、スマホを誤作動させるアプリ型のウイルスをネット上に公開したとみている。

同課によると、奥野容疑者らは今年2~4月ごろ、グーグルの基本ソフト(OS)「アンドロイド」を搭載したスマホ用の専用サイト「グーグルプレー」上で人気ゲームなどのタイトルに「the Movie」などと付加した名前のアプリを約50種類作成し、ネット上で公開。アプリを起動した約9万人のスマホを誤作動させ、アドレス帳に登録された個人情報を不正に取得していた。

アプリをダウンロードすると、起動後に個人情報が勝手に流出する仕組みになっていた。

アプリは4月12日までに削除されたが、アドレス帳から抜き取られたメールアドレス約600万件、電話番号やIDなど計約580万件が東京都内のレンタルサーバーに残っていた。サーバーの接続記録から、情報は都内のIT関連会社など複数の会社に流出していた。

逮捕容疑は3月21日ごろ、「グーグルプレー」上にアプリ型のウイルスを複数公開。4月6日、アプリをダウンロードした都内在住の女子大学生(20)のスマホから電話帳の個人情報を抜き取った疑い。

同庁は5月17日、アドマックなど数カ所を不正指令電磁的記録供用容疑で家宅捜索していた。

http://www.nikkei.com/article/DGXNASDG3002Q_Q2A031C1CC1000/

もう忘れてしまった人も多いと思うが、「全国電話帳」というスマホ・アプリで76万人分の個人情報流失という事件もあった。 スマホは家電化し急速に普及したため、スマホはPCなのだとい認識をもったユーザーは少ない。 そのため、PCユーザーと違いセキュリティの認識や対応が弱い人が多いのが現実だ。 その隙を突いて不正アプリが横行することとなっている――

スマホアプリで76万人分の個人情報流出か 「全国電話帳」インストールに注意
(産経 2012.10.6 17:37)

不正アプリ・全国電話帳スマートフォン(高機能携帯電話、スマホ)にインストールすると、スマホに登録された電話番号などが外部に送信されるアプリケーション(応用ソフト)が出回り、約76万人分の個人情報が流出していることが6日、情報セキュリティー会社「ネットエージェント」(東京)への取材で分かった。

問題のアプリは、「全国電話帳」という名前で9月16日からさまざまなアプリがインストールできるインターネット上のサイトに掲載され、無料でインストールできるようになっている。

このアプリ自体は、ハローページとタウンページに掲載された情報を元に作成されているが、インストールした利用者のスマホに登録された電話番号や住所、メールアドレスなどが抜き取られ、利用者間で閲覧できる仕組みになっている。

アプリの作成元は、サイトで「過去のハローページとタウンページに掲載された約3800万件の情報をもとにデータベースを作成しています。加えて、アプリ利用者のアドレス帳、GPSの情報も利用します」と説明しているが、説明を十分に読まないまま、インストールしてしまった利用者もいるとみられる。ネットエージェント社は「注意書きを見逃してしまう人は多い。知らぬ間に個人情報が公開されてしまうことになるので、絶対にインストールしないでほしい」と話している。

ネットエージェント社によると、今月6日時点で、データベースにはアクセスできないようになっているが、これまでに約3300台のスマホから約76万人分の個人情報が流出したことが確認されている。アプリは6日時点でもインストールはできるという。

http://sankei.jp.msn.com/affairs/news/121006/crm12100617380008-n1.htm