マルウェア（悪意または不正な、あるいは迷惑をかけるアプリ）は、Google Playストアからアプリをダウンロードするアンドロイド・ユーザーには困った存在だ。ダウンロード可能なアプリは270万件もあり、ストアを信用を守るため、グーグルは「バウンサー（Bouncer：用心棒）」システムで迷惑アプリを検査し、削除している。しかし、かなりの数のアプリが安全策であるバウンサーをすり抜け、公開されたままだ。

そこでフロリダ国際大学（マイアミ）のマフムール・ラフマン研究員のチームは「フェアプレー」システムを開発した。Google Playストア内の不正行為を従来とは全く異なる方法で探知できるシステムだ。

フェアプレーは、悪意のあるソフトウェアのプログラムコードを検査するのではなく、ユーザーが過剰にレーティング（アプリに対する5段階評価）を高く付ける足跡をたどる。レビュー欄を見ることで、グーグルのセキュリティ・システムでは検出されない不正行為を発見できる。

研究チームの新手法は、興味深い観察結果に基づいている。アプリを過大評価するレビューを書き込むユーザーは、数多くのアプリをダウンロードする際、同じアカウントを利用する傾向がある。つまり、一度特定してしまえば、監視は簡単なのだ。

悪意のあるユーザーがひとつのアカウントを使い回す理由は簡単だ。Google Playにレビューやレーティングを残すには、ユーザーはまずグーグル・アカウントを作り、モバイル機器をアカウントに登録し、アプリをモバイル機器にダウンロードしなければならない。

つまり、別のアカウントを多く作るのは面倒だから、悪意のあるユーザーは、基本的にアカウントをひとつしか運用しない。研究チームの手法では、まず悪意のあるユーザーのアカウントを特定し、それから他のアカウントの動きを追跡する。

研究チームはまず、2014年10月から2015年5月までにGoogle Playに新規公開された全アプリのレビューやレーティング情報をダウンロードした。約9万アプリと300万レビュー分のデータだ。

さらに、従来のウィルス対策ソフトやアプリ詐欺に詳しい専門家の協力を得て、マルウェア等、200以上のアプリを特定した。こうして「究極の基準に沿った」不正アプリのデータ・セットを用意した。さらに専門家に依頼し、詐欺レビューを投稿しているグーグル・アカウントを特定してもらったところ、200以上の詐欺アプリにレビューを書き込んだ15アカウントが見つかった。

詐欺アプリ200件には、3万3000件のレビューが書き込まれていた。書き込まれたレビューをデータ解析すると、10件以上の詐欺アプリにレビューを投稿した188アカウントが見つかった。「私たちは、こうしたアカウントを連座アカウントと呼んでいます」 と研究チームはいう。

こうした全ての詐欺行為から、詐欺的レビューを400件選び、機械学習アルゴリズムの訓練に使い、同様のレビューを特定できるようにした。

さらに他にも悪意が疑われる行動（アプリがシステムのアクセス許可を要求する数、レーティングを付けるよう求めるやり方などのことで、特にレーティングを不自然に高くするよう求めている疑いのあるもの）を特定できるようフェアプレーを設計した。

こういった作業を経て、アルゴリズムにGoogle Play上で新公開された9万件のアプリ全体を調査させた。

興味深い結果が出た。「フェアプレーにより、現在グーグルのバウンサー検出テクノロジーでは対応できない詐欺アプリを何百も発見できました」と研究チームはいう。

より重要なのは、研究チームのアルゴリズムにより、あまり知られていない攻撃手法がわかったことだ。マルウェアが一般ユーザーに、詐欺アプリの肯定的なレビュー書くよう強要していたのだ。「フェアプレーのおかげで、新手の宣伝強制型攻撃手法が見つかりました。ユーザーは、アプリに対して肯定的なレビューを書くよう、執拗に求められるのです。さらに他のアプリまでインストールさせられ、またレビューを書かされるはめになります」と研究チームはいう。

レビューを強要する宣伝キャンペーンは、ユーザーに広告を次から次へと表示したり、ゲームをやりづらくしたりする。しかし、ユーザーが要求に応じると広告表示が解除され、ゲームが次のレベルに進めるようになったり、肯定的なレビューを書くと追加機能が使えるようになったりする。

研究チームはこの種の動向をレビュー・データ解析で掴んだ。3000のレビューから、何らかの強制を受けたことを明かす118件のレビューを見つけたのだ。たとえば「レーティングを付けたのは、プレイ中にポップアップが出るのが嫌だから」「レーティングを付けないと、1レベルもプレイ出来ない」「5つ星のレーティングを付けろと露骨に要求してくる」といったことがレビューに書かれていた。

こうして研究チームの手法は、グーグルのバウンサーでは特定できない、全く新手の詐欺強制攻撃を明らかにした。

現在の課題は、次はどう来るか、である。研究チームの方法のように、挙動を特定すれば取り締まりはやりやすい。しかし、しょせんはいたちごっこであり、悪意のあるユーザーが、何か独創的なごまかし方を新しく思いつくのは時間だ。

参照：arxiv.org/abs/1703.02002 : フェアプレー: Google Playでの詐欺とマルウェアの検出

• 16
• 10
• 4
• 0

人気の記事ランキング

1. This US startup makes a crucial chip material and is taking on a Japanese giant 知られざる半導体材料の巨人 「味の素」の牙城を狙う 米スタートアップの勝算
2. Promotion MITTR Emerging Technology Nite #28 「自動運転2.0 　生成AIで実現する次世代自律車両」開催のご案内
3. How thermal batteries are heating up energy storage レンガにエネルギーを蓄える「熱電池」に熱視線が注がれる理由
4. The race to fix space-weather forecasting before next big solar storm hits スターリンク事故で露呈した 宇宙ビジネスの重大リスク、 「太陽嵐」の脅威に備える
5. 10 Breakthrough Technologies 2024 MITTRが選んだ 世界を変える10大技術 2024年版