詐欺師たちがモバイルアプリストアで、新たなカテゴリーに目をつけました。それが認証アプリです。
複数のウェブサイトが、ログイン認証コードの受け取り先として、ショートメッセージサービス(SMS)を使わないようにと注意を呼びかけるなかで、詐欺師たちは、偽の認証アプリを作成し、ユーザー(とその金銭)を狙っているのです。
デジタルセキュリティを強化したいと考えるユーザーの行動に乗じて、悪者が儲けているという図式には憤りを感じざるを得ません。
しかし、簡単なステップを踏むことで、こうした詐欺アプリから自分の身を守ることは可能です。
認証アプリ詐欺の手口
iOS関連の開発者が運営するセキュリティブログ「Mysk」は2月後半、ツイッター上で、このアプリ詐欺に注意するよう呼びかけました。
『Google認証システム』や『Microsoft Authenticator』のような、よく使われている認証アプリを検索すると、検索結果の上部にスポンサー広告が表示されます。しかし、詐欺師がこのスポンサー広告スペースを買い取っていることがあり、検索結果のトップに出ているアプリが、実は偽物であるおそれがあるのです。
こうした詐欺アプリをダウンロードすると、まず間違いなく「ログインコードを受け取るのに月額40ドルを払え」といった、法外な利用料金を払うように要求されます(なお、言うまでもないことですが、本物のアプリであれば、これらの認証コードを受け取るのにお金はかかりません)。
AppleとGoogleはともに、予防策として、これらの偽アプリの一部を削除する措置に出ています。しかし、詐欺師は常に、手を替え品を替え、違う名義でこうした偽の認証アプリをアプリストアに掲載しているのが現状。
偽のアプリはたいてい、よくある感じのカギのアイコンを採用し、「Authenticator(認証アプリ)」といった名前を使って本物らしく見せています。どうやら詐欺師の世界では、創造性が生かされる余地はほとんどないようです。
偽の認証アプリを避けるためにすべきこと
ユーザーは2、3のステップを踏むことで、こうした詐欺師が仕掛けたワナを簡単に回避することができます。
1. 検索結果トップでもまず開発者を確認
iPhoneではApp Store、AndroidスマホではGoogle Playで検索した時に、検索結果のトップに表示されるからといって、そのアプリを信用してはいけません。
トップ表示されたアプリがまともなものに見えても、まずは開発者の名前をクリックし、本物かどうかを確かめましょう。
たとえば、Google認証システムの場合は、「Google LLC」が開発者として表示されます。
2. よく調べて、信頼できるアプリを選ぶ
オンラインで検索をして、よく使う認証アプリのダウンロードページの場所を確認しましょう。
Google、あるいはMicrosoftが自社の認証アプリについて用意している公式ダウンロードページに行きつけば、そこからリダイレクトされて、自分が使っているスマホ向けの適切なアプリがインストールされるはずです。
こうした詐欺アプリに対する用心として一番有効なのは、人気のある選択肢を選び、あまり知られていないアプリを避けることです。
それでも、怪しい認証アプリをうっかりインストールしてしまった場合は、利用料金の支払いを要求された瞬間に、アプリを削除してください。
人気のある認証アプリは無料か、少なくとも無料版を用意しています。
3. 2段階認証機能があるものを選ぶ
2段階認証機能が内蔵されている認証アプリを使えば、ユーザーを騙してカネをせしめようとする詐欺師のたくらみを回避できます。
『1Password』や『Bitwarden』、あるいは、Apple純正の『iCloud キーチェーン』などのサービスを試してみると良いでしょう。
いま挙げた3つのサービスはどれも、パスワード管理に加えて、認証コードをサポートしています。
こうしたセキュリティ周りのサービスを統合したソリューションが、大半の人にとっては最高の選択肢になることが多いはずです。
