「App Store」へ不正請求アプリが混入している実態が明らかに。その手口とは?

セキュリティ

「App Store」へ不正請求アプリが混入している実態が明らかに。その手口とは?

投稿日:2017年6月12日 更新日:

参考になったらシェアお願いします!

iPhoneユーザーはApp Storeでアプリを検索します。キーワードで検索すると関連するアプリが表示される「Search Ads」という仕組みを悪用して、無料アプリをダウンロードさせ、高額なアプリ内課金を請求する不正請求アプリの存在が明らかになりました。

スポンサーリンク

「トップセールス」ランキングに怪しいアプリが

アプリランキング

App Storeの「トップセールス」には人気のある有名なアプリが並んでいます。日本ではほとんどがゲームになっていますが、仕事効率化のカテゴリに「Mobile protection :clean & Security VPN」という無料アプリが並んでいました。

iPhoneではアプリがシステムの中核部分にアクセスすることができなくなっているのですが、このアプリの説明文には「連絡先の重複を調査する」との記載があり、出来ないはずのことが出来ると書かれています。

奇妙に思った開発者のジョニー・リン氏が調査したところ、このアプリが月間8万ドル(約880万円)もの売り上げを上げていました。その結果、トップセールスにランキングされていたのです。

不正請求の手口

このアプリは名前からもわかるように比較的セキュリティに関心があるユーザーをターゲットにしています。アプリをインストールして起動すると、無料トライアルの画面となります。

フリートライアル画面

そして無料トライアルをタップすると、「フリートライアルを開始するためにTouch IDを使ってください。あなたは6月9日から7日間につき99.99ドルの利用料がかかります」と表示されます。

フリートライアルなのに有料?よく読むとおかしい話なのですが、フリートライアルと書かれているため、思わずTouch IDを使ってしまうユーザーがいます。

Touch ID画面

Touch IDで認証してしまうと請求が発生。これにより月間880万円の利益を上げていました。リン氏によると、同様の手口を使ったアプリは複数確認されたとのこと。

ユーザーに防衛策はあるのか

「本来出来ないことを出来ると書いてある」これは詳しいユーザーでないと見破るのは難しいでしょう。しかし、「フリートライアルが有料」という表示は不自然なため、気をつけて読めば回避できるでしょう。

リン氏は、それでも払ってしまった場合は諦めることなく、App Storeの領収書から「問題を報告」フォームを使って返金を要求すべきだと語っています。またAppleに対しては悪質なアプリの除去に力を入れるべきだと主張しています。

App StoreはiOS11で大幅にアップデートされるため、この問題は解消されるかもしれません。しかし、不正アプリはその隙を突いて出てくるでしょう。日本語の不正アプリが出てくるかもしれません。もし騙されたと思ったら、リン氏が勧めているように返金を要求しましょう。

参考URL:9to5mac

The following two tabs change content below.
奥村卓也

奥村卓也

通信事業者のネットワークエンジニアとサービスクリエーションに従事した後、フリーランスの道へ。趣味はVespa Vintage 100で旅に出ること。人生はMacとiPhoneとVespaで出来ている。
参考になったらシェアお願いします!

-セキュリティ
-,

スポンサーリンク

最新ニュースをLINEでお届け!

友だち追加

comment

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

関連記事

被害女性

iPhoneを使った「デジタル痴漢」に注意!

ニューヨークでiPhoneを使った「デジタル痴漢」が流行しています。この方法は2015年には初めて発覚した方法。デジタル痴漢?いったいどんなものなのか、防ぐにはどのようにした方がいいのか、お伝えします …

格安スマホでは「Jアラート」が鳴らない?その仕組みと対策

昨今、某国のミサイル実験によって「Jアラート」が発報され、スマートフォンで受信すると警報が鳴ることが多くなりました。しかし、格安スマホでは鳴らないという事象が発生し、少々情報が混乱しています。鳴らない …

警告画面

日本でも検出されたAndroidマルウェア「Dirty COW」を悪用

Trend Microのセキュリティ研究者は米国時間9月25日、脆弱性「Dirty COW」を悪用したマルウェアが「AndroidOS_ZNUI」として検出されたと報告しました。この脆弱性を悪用する初 …

スタート画面

LINEで「サイバー防災訓練」実施中。ちょっと乗っ取られてみた。

LINEの乗っ取りが一時期流行し、電子マネーを購入させられるなどの被害が頻発しました。そのようなLINE乗っ取りを疑似体験する「サイバー防災訓練」が実施中です。人によってストーリーが変わる訓練になって …

キーロガー

Androidに脆弱性「Cloak and Dagger」が発見されるも、解決は設計上困難……!

Androidアプリではインストール時に「どのような権限を与えるか」アプリを制限することができます。しかし、正当な権限を組み合わせることで、全権限を奪われてしまうという脆弱性が発見されました。これは設 …