事例Use case
【Bitdefender海外ブログ】Google Play Store以外からZoomをインストールする人なんていない?むしろ大勢いる現状
SECURIE SOHO 2021.10.14
人々がリモートワークやeラーニングに移行したことで、ウェブ会議プラットフォームの使用が急増し、Zoomの人気が急上昇しました。しかし、利用者が増えたことで、プラットフォームに関する問題が浮き彫りになり、様々な調査が行われました。その結果、大手テック企業がビジネス目的でのZoom利用を禁止する事態になりました。
BitdefenderはGoogle Play以外に存在する偽のZoomアプリについて記事を掲載してきましたが、偽Zoomが実際にユーザーのデバイスに入っているのかと疑問に思っていました。ここで重要な疑問が浮かびました、初めてZoom会議を行う場合、人々はどこからZoomクライアントをダウンロードしているのでしょうか?
答えはとても簡単だと思われるでしょう、公式サイトかGoogle Playです。Zoomの公式ページでは、Google PlayからAndroid版のダウンロードを推奨しています。
このリンクは公式のGoogle Playのページへ誘導します。しかしBitdefenderのテレメトリデータは、奇妙なことを示しています。Android版のZoomをGoogle Play以外からダウンロードしている人がいるのです。
2020年1月からBitdefenderが取得したデータによると、全750,000件のうち100,000件以上が、Google Play以外からZoomアプリをダウンロードしていることが分かりました。公式ではない提供元からZoomをダウンロードし、危険にさらされているユーザーが10%以上も存在することになります。
中国だけでは?って頭に浮かびましたよね?
これは警戒すべき問題です。世界の片隅だけの出来事でもありません。広い範囲で起こっている現象です。別の記事で紹介したとおり、マルウェアの作者はこれを悪用しています。
全世界で過去3週間に公式ストア以外からダウンロードされたZoom
アメリカで過去3週間に公式ストア以外からダウンロードされたZoom
ヨーロッパで過去3週間に公式ストア以外からダウンロードされたZoom
このデータから、Zoomをどこからダウンロードすればいいかわからない人々がGoogleで検索した結果、サードパーティやその他の非公式の(危険で疑わしい)ページに誘導されてしまったと推測されます。
では、APKファイルがサードパーティのものなのか、正当な提供元から配信されたものなのか、どのように見分ければよいのでしょうか?答えはシンプルで、Bitdefenderはスキャンしたバイナリのファイルパスを確認し、既知のZoom APKバージョンのフィンガープリントかどうかをチェックしています。Bitdefenderの脅威インテリジェンスデータベースを検索すると、公式Zoomのバイナリのファイルパスと出現回数は次のように示されます。
Zoom download path | Download count |
---|---|
/Download/zoom.apk | 91077 |
/Android/data/com.android.chrome/files/Download/zoom.apk | 925 |
/ZOOM.APK | 810 |
/UCDownloads/zoom.apk | 369 |
/Download/zoom-us-zoom.apk | 218 |
大多数のバイナリは、一般的にダウンロードフォルダに保存されています。カスタムダウンロードを行うソフトの場合は、専用のダウンロードフォルダを使用します。例えばGoogle Chrome (/Android/data/com.android.chrome/files/Download/zoom.apk )やUC Browser (/UCDownloads/zoom.apk)などです。
この状況にはもう1つ重要な点があります。上記の地図で示した通り、この事象はサイドローディング(公式ストア以外からのインストール)行為が一般的である中国に限定されたものではありません。全世界で起こっている事象で、南北アメリカ、ヨーロッパ、日本でも確認されています。ZoomアプリをインストールするためにGoogle Playにアクセスできない人たちがサードパーティのマーケットを頼りにしてしまうようです。
あちこちにある偽Zoomインストーラーに遭遇するかも
Zoomのインストーラーの取得方法は、検索だけではありません。WhatsApp、SHAREit(シェアイット)、Verizonのコンテンツ転送アプリを介して送付されていることもあります。ビジネス環境やエンタープライズ環境でも同様で、従業員の間でWhatsApp Businessを使ってZoomインストーラーを送付しています。
Application | File paths |
---|---|
X-Transfer - Share/Backup Files/Contacts/SMS/Calls | /Documents/X-Transfer/385395/1584429256/Apps/Zoom.apk |
WhatsApp Messenger | /WhatsApp/Media/WhatsApp Documents/zoom.apk |
/WhatsApp Business/Media/WhatsApp Business Documents/Private/zoom.apk | |
/WhatsApp/Media/WhatsApp Documents/zoom-us-zoom.apk | |
SHAREit - Transfer & Share | /SHAREit/apps/Zoom.apk |
Verizon Content Transfer | /Download/vztransfer/apps/Zoom.apk |
サイバーセキュリティの知識がある人なら、このファイル共有やメール、メッセンジャーサービスなどで「pass me the Zoom app(Zoomアプリを送って)」という行為が、いかにリスクの高い問題であるかすぐにわかるでしょう。普通は「Zoomインストーラーを送ってくれませんか。あと数分で会議があり、どこで入手すればいいかわかりません。」と言わないですよね。
この方法でZoomのインストーラーを取得すると、リモートアクセス型トロイの木馬の機能を持った悪意のあるZoom APKファイルをインストールしてしまう可能性がさらに高くなります。
公式な提供元からのみAndroidアプリをインストールし、安全に使うようにしましょう。 また常にAndroidデバイスにセキュリティソフトをインストールしておくことも必要です。
翻訳元記事 Who installs Zoom apps outside the Play Store? Well, lots of people.
急スピードで広がったからこそ確認し直したい、テレワークのセキュリティ対策
【Bitdefender海外ブログ】シノロジー(Synology)製NASが大規模なブルートフォース攻撃(総当たり攻撃)の標的に