Androidには、視覚や聴覚、身体機能に障害のある方でもスマートフォンを利用しやすくするための「アクセシビリティ機能」が搭載されています。
本来は非常に便利な機能ですが、近年ではこのアクセシビリティ権限を悪用したAndroidマルウェアが増加しています。
銀行アプリや決済アプリを狙うバンキングマルウェアでは、この機能を利用して画面の内容を読み取ったり、利用者の代わりに画面を操作したりする攻撃が確認されています。
本記事では、Androidアクセシビリティ機能を悪用した攻撃の仕組みや、企業が実施すべき対策について解説します。
Androidアクセシビリティ機能とは
アクセシビリティ機能は、障害のある利用者がスマートフォンを使いやすくするための支援機能です。
例えば、
- 画面の内容を読み上げる
- 画面を拡大表示する
- ボタン操作を補助する
- 音声で端末を操作する
などの機能があります。
これらはAndroid OSの重要な機能であり、多くの正規アプリでも利用されています。
なぜ攻撃に悪用されるのか
アクセシビリティ権限を取得すると、アプリは通常より多くの操作を実行できるようになります。
例えば、
- 画面に表示された情報を取得する
- ボタンを自動で押す
- スクロールを実行する
- 通知内容を取得する
- 他のアプリの動作を監視する
といった操作が可能になります。
このため、攻撃者にとっては非常に魅力的な権限となっています。
攻撃の流れ
① 偽アプリ・マルウェアをインストール
SMSやメール、広告などから不正アプリへ誘導します。
↓
② アクセシビリティ権限を要求
「動作に必要です」
「セキュリティ強化のため」
などと表示し、利用者に権限を付与させます。
↓
③ 銀行アプリを監視
銀行・証券・決済アプリの起動を検知します。
↓
④ 画面情報を取得
ログイン画面や入力内容を取得します。
↓
⑤ 利用者の代わりに操作
ボタン操作や送金操作まで自動化される場合があります。
どのような被害につながるのか
アクセシビリティ機能が悪用されると、次のような被害が発生する可能性があります。
- ログインID・パスワードの窃取
- ワンタイムパスワード(OTP)の取得
- SMS認証コードの窃取
- 銀行アプリの不正操作
- 不正送金
- 個人情報の窃取
特に金融アプリでは、認証情報だけでなくログイン後の重要操作まで悪用される可能性がある点が問題です。
オーバーレイ攻撃との違い
アクセシビリティ機能の悪用とオーバーレイ攻撃は混同されがちですが、それぞれ役割が異なります。
| オーバーレイ攻撃 | アクセシビリティ悪用 |
|---|---|
| 偽ログイン画面を表示する | 画面内容を読み取り操作する |
| 認証情報を盗む | 利用者の代わりに操作する |
| 視覚的にだます | OS権限を悪用する |
実際のバンキングマルウェアでは、これらを組み合わせて利用するケースも多く見られます。
最近のバンキングマルウェアでも利用される手法
近年確認されているAndroid向けバンキングマルウェアでは、
- Rokarolla
- Anatsa
- Godfather
- SharkBot
などがアクセシビリティ機能を悪用する手法を採用しています。
これらは利用者に気付かれにくく、金融アプリを狙う代表的な攻撃として警戒されています。
企業が実施したい対策
不審な端末状態を検知する
Root化やJailbreak端末、不審な実行環境を検知する仕組みを導入します。
RASPを活用する
アプリ実行中の異常な動作や改ざんを検知し、防御します。
App Shieldingを導入する
アプリ解析や改ざんへの耐性を高めます。
重要操作時に追加認証を行う
ログイン後の
- 送金
- 出金
- 登録情報変更
などにも追加認証を実施することで被害を抑制できます。
利用者への注意喚起
企業側は、
- 正規ストア以外からアプリをインストールしない
- 不審なアクセシビリティ権限を許可しない
- Android OSを最新状態に保つ
といった基本的なセキュリティ対策も継続して案内することが重要です。
モバイル不正対策ラボの見解
アクセシビリティ機能そのものは、障害のある方々にとって欠かせない重要な機能です。
問題なのは、その便利な仕組みを攻撃者が悪用している点にあります。
そのため、「アクセシビリティ機能を無効化すればよい」という単純な話ではありません。
金融・決済・会員アプリを運営する企業は、アクセシビリティ権限を悪用した攻撃も想定し、認証・端末・アプリ保護・不正検知を組み合わせた多層防御を検討することが重要です。
まとめ
Androidアクセシビリティ機能を悪用した攻撃は、近年のバンキングマルウェアで広く利用されている手法です。
攻撃者はこの権限を利用して画面情報を取得したり、利用者の代わりに操作を実行したりすることで、不正ログインや不正送金を試みます。
金融・決済・会員アプリを提供する企業では、認証強化だけでなく、RASPやApp Shieldingなどを活用したアプリ保護や、重要操作時の追加認証など、多層的なセキュリティ対策を検討することが重要です。