PR

 イスラエルのCheck Point Software Technologiesは現地時間2016年11月30日、Googleアカウントを乗っ取る攻撃手法「Gooligan」について注意を呼びかけた。すでに100万件以上のGoogleアカウントが攻撃を受けており、1日あたり1万3000件のペースで被害が広がっているという。

 この攻撃で使われるAndroidマルウエアは、端末のルート権限を取得し、認証トークンを入手する。攻撃者は、盗んだ認証トークンを使って「Google Play」「Gmail」「Google Photos」「Google Docs」「G Suite」「Google Drive」などのデータに不正アクセスできる。

 Check PointはGooliganについてGoogleのセキュリティチームにすでに報告しており、Googleと密に協力して調査を進めているという。Googleは影響を受けたユーザーに通知し、認証トークンの無効化などの措置をとっている。

 同マルウエアの影響を受けるのは「Android 4(Jelly BeanおよびKitKat)」と「Android 5(Lollipop)」で、現在使用されているAndroid端末の74%以上を占める。攻撃を受けたデバイスのうち約57%がアジアに集中している。

 Check Pointは同マルウエアが埋め込まれた偽装アプリケーションを非公式アプリケーションストアで数十種類特定しており、こうした不正アプリケーションのいずれかを端末にインストールすると感染する。フィッシングメッセージに掲載されたリンクからダウンロードするケースも考えられる。

 マルウエアは、デバイスに関する情報をコマンド&コントロール(C&C)サーバーに送信し、C&Cサーバーからルートキットを入手する。Android 4あるいはAndroid 5の複数の脆弱性を利用して、ルート権限を取得する。

 攻撃者がリモートでコマンドを実行できる状態になり、Gmailアカウントや認証情報を盗んだり、Google Playからアプリケーションをダウンロードして高い評価を付けたり、アドウエアをインストールしたりする。

 GooliganはGoogleユーザーの個人情報を盗むことより、アプリケーションの評価の水増しや頻繁な広告表示によって金銭を得ることが主な目的のようだと、米メディア(The VergeForbes)は指摘している。

[発表資料へ]