ウィルス対策ソフトをESETインターネットセキュリティを展開しているサイバーセキュリティ企業、イーセット(ESET)がグーグルのSMS許可制限を回避し、SMS経由にて受信した2要素認証(2FA)コードを入手する新たなアンドロインド用のマルウェアを報告した。

これにより私たちがよく使われている2段階認証によって表示されたワンタイムパスワード(OTP)を取得する。

イーセットの研究者によれば、2019年3月にグーグルが実施した制限を回避することで、SMS経由でユーザーに送信されたOTPにアクセスできる悪意のある複数のアプリを発見したとしており、さらに同じ手法により電子メールベースのOTPにアクセスすることも可能になると報告している。

私たちが何気なく利用しているOTPによる認証がこのマルウェアや同等の役目をする他のマルウェア経由によって盗まれてしまうこともあり、個人情報だけに限らず、仮想通貨取引所などに置いてある資産さえも盗まれてしまう可能性があるためOTPがあるから安全という考え方は通用しなくなるだろう。

この研究者によれば、問題になっているアプリは、トルコの仮想通貨取引所BtcTurkのアプリになりすましており、ログイン認証情報を盗み出すと言う。

これらのマルウェアはSMSメッセージを傍受し、ユーザーアカウントや取引に関する2FAによる保護を開始するだけでなく、スマートフォンのディスプレイに表示された通知からOTPを取得するためにBtcTurkだけに限らず、他の取引所のOTPも盗まれる可能性があるため私たちはアプリをインストールする際には公式サイトからする習慣が必要とも言える。

マルウェアは日に日に巧妙な手段を使って私たちの資産を盗もうとするが、私たち自身も公式サイト以外からのアプリを入手すること避けるなど、何でも便利だからといって無防備にアプリをインストールすることは控えたほうがよさそうだ。

現在、同アプリはアプリストアから削除されているが、今後違うアプリが出てくることも考えられる。十分な注意が必要だ。

参考:we live security