強い会社の着眼点（第28回） 偽クリーナーアプリとは？ 注意点と対策は？

　スマートフォンやパソコンを使用中に「メモリがいっぱいです。クリーナーアプリをインストールしてください」などという警告が出てきたために、慌ててクリーナーアプリをインストールしてしまった経験はないだろうか。こうしたアプリの多くは偽物で、悪質な広告を表示したり、フィッシングサイトに誘導したりすることなどを目的としたものだ。個人情報などを盗まれることもある。では、どうすればだまされずに済むのだろうか。今回は、偽クリーナーアプリの傾向と対策を紹介する。

「情報セキュリティ10大脅威」で不正アプリは10年連続ランクイン

　偽クリーナーアプリなど不正なアプリをインストールさせる目的はさまざまだ。広告収入を上げるために、やたらと広告を表示させるものもあれば、フィッシングサイトに誘導してIDやパスワードなどの情報を盗み出すことを目的とするものもある。その他にも、悪意のあるプログラムであるマルウエアを埋め込んで、DDoS攻撃の踏み台にしようとしたりすることもある。

　先ほども少し触れたが、偽クリーナーアプリへの誘導は多くの場合、スマートフォンやパソコンを使用中に「メモリがいっぱいです。すぐにクリーナーアプリをインストールしてください」というポップアップが表示される。そして、ユーザーの不安をあおることで冷静な判断能力を奪い、不正アプリをダウンロードさせてインストールさせる手口が用いられる。

　ユーザーの不安をあおるやり方は、その他に多くの事例がある。例えば、2024年3月にはマイナポータルの偽サイトから不正アプリをダウンロードさせてインストールするように誘導するという事案が起きた。デジタル庁の通達では年金事務所を名乗って電話をかけ、年金手続きのためにマイナポータルで手続きが必要だと伝え、偽の年金機構のLINE IDに登録させて偽サイトに誘導する手の込んだやり口だった。

　さらに、近年急増しているのは偽アプリを用いたSNS投資型詐欺だ。実在する投資アプリを装った偽サイトから偽アプリをダウンロードさせ、取引のための資金を送金させるもので、偽サイト上では取引で利益が出ているように見せて、実際には取引は行われておらず、資金も戻ってこないという。

　こうした不正アプリによる被害は独立行政法人情報処理推進機構（IPA）が発表している「情報セキュリティ10大脅威（個人）」にも10年連続ランクインしているセキュリティ脅威の常連であり、不正アプリのためにスマホが犯罪のインフラにされていると指摘されている。

IT資産の管理体制を確立し不正アプリの被害を防ごう

　不正行為に巻き込まれない方法はシンプルだ。偽クリーナーなどの不正アプリをインストールしないことに尽きる。しかし、実際にはサイバー攻撃者たちはあの手この手で引きずり込もうとするので、ついダウンロードしてインストールしてしまうこともあるだろう。

　対策の基本となるのはGoogle PlayやApp Storeなどの公式ストア以外からダウンロードしないことだ。誰が運営しているのかが不明なWebサイトからダウンロードしなければ、偽の通知で不安をあおられても被害を受けることを避けられる。余計なサイトが見られないようにWebフィルタリングを導入しておくことも有効な対抗措置だ。

　ただし、公式ストアであっても不正アプリが紛れ込んでいる可能性があるので留意が必要だ。アプリをダウンロードする前に、レビューや評価、アプリの開発者などの情報をチェックすることが必要だ。検索サイトでアプリの評判を調べることで、被害を受けたケースが見つかることもある。ダウンロードしてインストールした後に、不正アプリであることが発覚した場合には、すぐにアンインストールすることで被害を防ぐこともできる。アンインストールできない場合にはシステム設定のところで、アプリを削除するようにしよう。画面上のアイコンを消すだけではアプリが残ったままなので注意が必要だ。

　それでもアプリが残っている場合や気がつかないまま被害を受けてしまった場合は、デバイスの初期化が必要になる。同時にIDやパスワードなどを変更するなど、認証情報を適切に管理することも大切になる。そのために普段からIT資産を見える化して管理体制を整備しておくことが必要だ。サイバー攻撃者はあらゆる手口で不正アプリを送り込もうとしている。自分は狙われているという意識を常に持つことが求められる。不安がある場合には専門のセキュリティ事業者に管理を委ねるという方法もある。被害が発生する前にできることを考えて手を打っておくことをおすすめする。

※掲載している情報は、記事執筆時点のものです