btzgrp
  • PCがPOSTしない。1時間待ってようやくPOSTできる - TechRepublic
Headlines

Facebook:悪質アプリがアカウント認証情報を盗む | TechRepublic

05 mins
Facebook:悪質アプリがアカウント認証情報を盗む | TechRepublic

Facebook、アカウント認証情報を盗もうとする悪質アプリ400件について警告

出版

ランス・ホイットニーの画像

これまでAppleのApp StoreとGoogle Playで入手可能だった偽アプリは、写真編集アプリ、ゲーム、VPNサービス、ユーティリティを装い、ユーザーを騙してFacebookの認証情報を共有させようとしていた。

人が自分の携帯電話にアカウント名とパスワードを追加します。
画像: Thapana_Studio/Adobe Stock

Facebookは、人気ソーシャルネットワークの認証情報を乗っ取ろうとする偽アプリや悪質アプリに注意するようユーザーに注意を呼びかけています。同社は金曜日に発表した報告書の中で、正規のプログラムを装い、Facebookのパスワードを使ってログインさせようとする400以上の悪質なAndroidおよびiOSアプリを発見したと発表しました。これらのアプリはAppleとGoogleによって削除されましたが、類似のアプリが次々と出現し、その脅威を奪う可能性は常に残されています。

これらのアプリがどのように偽装したか

AppleのApp StoreとGoogle Playに掲載されている悪質なアプリは、一見本物のプログラムのように見えるさまざまなプログラムを偽装していた。

写真編集アプリを装い、写真を漫画風に加工できると謳うものもありました。VPNアプリを装い、インターネット速度の向上やブロックされたウェブサイトへのアクセスを提供すると謳うものもありました。偽ゲームは高品質な3Dグラフィックを謳っていました。中には、スマートフォンの内蔵フラッシュライトの性能を向上させると謳う懐中電灯アプリを装うものもありました。フィットネスアプリや星占いアプリを装うものもありました。中には、他のプログラムにはない、隠された機能や不正な機能を提供すると謳う、いわゆるビジネスアプリや広告管理アプリもありました。

参照: モバイルデバイスのセキュリティポリシー (TechRepublic Premium)

これらのアプリの仕組み

これらの悪質アプリはすべて、同じ詐欺を企てていました。インストール後、アプリはユーザーに「Facebookでログイン」するよう求め、すべての機能を最大限に活用できるようにします。ユーザーがこれに従うと、アプリの背後にいるサイバー犯罪者によってFacebookの認証情報が盗まれ、アカウントへのフルアクセス、個人情報や機密情報の閲覧、友人へのメッセージ送信が可能になります。詐欺に引っかかったユーザーから否定的なレビューを隠すため、犯罪者はアプリを宣伝する偽のレビューを投稿します。

AppleとGoogleはどちらも、悪意のあるソフトウェアを検知・ブロックするためのセキュリティ対策をアプリストアに導入しています。しかし、一部のアプリはセキュリティ検出をすり抜けてしまいます。問題となっているアプリを発見したFacebookは、AppleとGoogleに報告し、両社はそれぞれのアプリストアからアプリを削除しました。

参照:パスワード侵害:ポップカルチャーとパスワードが混ざらない理由(無料PDF)(TechRepublic)

偽アプリや悪質アプリを避ける方法

多くのアプリやウェブサイトはFacebookアカウントでログインするオプションを提供しているため、サイバー犯罪者がこの機能を悪用するのは当然のことです。では、偽のアプリと正規のアプリを見分けるにはどうすればよいでしょうか?Facebookによると、以下の点に注意すべき点があります。

  1. アプリを使用するにはソーシャルメディアの認証情報が必要ですか?Facebookのユーザー名とパスワードを入力しないとアプリは機能しませんか?例えば、使用前にFacebookの認証情報が必要だと主張する写真編集アプリやフィットネスアプリには注意が必要です。
  2. アプリは評判が良いですか?ダウンロード数だけでなく、評価やレビューも確認しましょう。特に否定的なレビューは必ずチェックしましょう。
  3. アプリは、サインインする前でもサインインした後でも、約束された機能を提供しますか?

詐欺に遭ったらどうすればいい?

悪意のあるアプリをインストールしたと思われる場合、すでに Facebook またはソーシャル メディアの認証情報を使用してサインインしている場合は、まずモバイル デバイスからアプリを削除する必要があります。

  1. 次に、サインインに使用したソーシャルメディアアカウントのパスワードをリセットします。強力で一意のパスワードを作成し、複数のサイトで使い回さないようにしてください。ビジネスでパスワード管理にお困りの場合は、TechRepublic Premiumの専門家が作成したポリシーをご覧ください。詳細については、パスワード管理ポリシーをダウンロードしてください。
  2. 認証アプリを使用して、アカウントの 2 要素認証を設定します。
  3. ログインアラートを有効にすると、誰かがあなたのアカウントにアクセスしようとした場合に通知が届きます。アカウントの過去のセッションを確認し、どのデバイスがアクセスしたかを確認してください。
記事をシェア

こちらもご覧ください

  • ビジネスで検討すべき10の最高のウイルス対策製品
  • 2022年の最高の暗号化ソフトウェア
  • セキュリティアナリストの採用方法
  • サイバーセキュリティとサイバー戦争:さらに必読の記事
ランス・ホイットニーの画像

ランス・ホイットニー

ランス・ホイットニーは、テクノロジーライター兼トレーナーであり、元ITプロフェッショナルです。Time、CNET、PCMag、その他複数の出版物に寄稿しています。WindowsとLinkedInに関する2冊のテクノロジー関連書籍を執筆しています。

Tagged:

Related News