2016年7月17日日曜日

ポケモン Goの詐欺、マルウェア、プライバシー侵害からデバイスを保護する方法

無料ポケコイン詐欺
Pokemon Go にはゲーム内課金があり、ユーザーは実際のお金を使って「ポケコイン」と呼ばれる仮想通貨を購入することができます。

"Pokemon Go free coins generator" を検索してみると、古典的なアンケート詐欺ページへのリンクが見つかります。

詐欺サイトに進んだユーザーは、Pokemon Go でのユーザー名と、希望するコインの枚数をたずねられます。
なかには、禁止行為の解除が保証されるといった追加機能を謳う詐欺もありますが、実際には動画が再生されてから、「人間であることの確認」に進むだけです。

アンケートに回答してアプリケーションをインストールするか、サービスに登録するよう求められます。その指示に従っても、無料でポケコインが入手できません。

無料のポケコインを受け取るには、Twitter や Facebook でメッセージを打ち込んで共有してください、と指示する詐欺もあります。


Pokemon Go に偽装してトロイの木馬を仕込んだアプリが、非公式のチャネルに登場
使えない地域では、非公式のサイトからアプリをダウンロードするようになっています。

攻撃者は、そうした需要を狙い、Android デバイスを標的にしてトロイの木馬を仕込んだアプリを作成しました。
マルウェアの作成者はリモートアクセス型のトロイの木馬(Android.Sandorat)を Pokemon Go に偽装し、各種のダウンロードサイトやゲーミングフォーラムで拡散していました。
偽装したマルウェアをインストールすると、Pokemon Go のスタート画面が表示されるので、ユーザーは何か異常があるとは気づきません。
しかしその裏では、攻撃者がデバイスのアクセス権を完全に掌握してしまいます。

Pokemon Go チートツール
悪質な活動とは別に、外を歩き回ることなくポケモンを捕まえたりタマゴからかえしたりできるように、いんちき(チート)をしたがるプレイヤーも現れています。

拡張現実(AR)を使ったゲーム「Ingress」のプレイヤーも使っていました。
Ingress は、Pokemon Go と同じ Niantic 社によって 3 年前に開発されたゲームです。
同社は、Pokemon Go でも同じことが起こると予測しており、GPS を不正に利用したプレイヤーに対して 1 時間のプレイ停止を課すと発表しています。
GPS 偽装ツールを装ったマルウェアはまだ確認されていませんが、Pokemon Go のユーザーベースが増えれば現れてくる可能性もありそうです。

Pokemon Go で可能なチートは、ほかにもあります。Pokemon Go のアプリは現在、証明書ピンニングをサポートしていません。
不正ユーザーは信頼できる証明書を独自に作成してデバイスにインストールし、単純な中間者(MITM)プロキシを使って通信を傍受することができます。
この方法では、リモートのデバイスに対して攻撃を仕掛けることはできませんが、Pokemon Go のバックエンド API に存在する脆弱性を見つけることは可能です。
そのため、ユーザーがアイテムを増やす要求を自動化したり書き換えたりできる可能性もあります。


対処方法

モバイルのセキュリティ問題に関しては、攻撃を受けるリスクを減らすために、以下の推奨事項に従ってください。


  • 非公式のマーケットプレイスからは Pokemon Go をダウンロードしない。攻撃者は、正規のゲームに偽装したマルウェアを拡散するために非公式のサイトを利用しています。
  • Google アカウントへのフルアクセスを要求しなくなるアップデート版をインストールする。
  • ゲームのチートツールは使わない。詐欺の場合や、マルウェアを含んでいる場合があります。
  • 脆弱性を悪用されないように、スマートフォンのファームウェアを最新に保つ。
  • Pokemon Go のアカウントには強力なパスワードを使い、他のサイトと兼用しない。
  • アプリが要求する許可の種類に注意する。
  • デバイスとデータを保護するために、ノートンなど適切なモバイル用セキュリティアプリをインストールする。

0 件のコメント:

コメントを投稿

詐欺相談窓口

CuteCosplayers

最新!超小型カメラ最前線

セレブ達の生活ニュース

Fashion Beauty Express