マルウェアに関する Google のポリシーはシンプルです。Google Play ストアやユーザー デバイスを含む Android エコシステムから、悪意のある動作(マルウェアなど)を完全になくす必要があると考えています。Google では、この基本原則に沿って、ユーザーと Android デバイスに安全な Android エコシステムを提供できるよう努めています。
マルウェアとは、ユーザー、ユーザーのデータ、またはデバイスを危険にさらすおそれのあるすべてのコードを指します。マルウェアには、有害な可能性があるアプリ(PHA)、バイナリ、フレームワーク変更などがあり、トロイの木馬、フィッシング、スパイウェア アプリなどのカテゴリで構成されますが、これらに限定されるものではありません。Google は継続的に更新し、新しいカテゴリを追加しています。
マルウェアは、種類や能力はそれぞれ異なりますが、通常は以下のいずれかを目的としています。
- ユーザーのデバイスの完全性を侵害する。
- ユーザーのデバイスを制御できます。
- 攻撃者が感染したデバイスにアクセスしたり、デバイスを使用したり、悪用したりするために、リモートで操作できるようにする。
- 適切な開示や同意なく、デバイス上の個人データや認証情報を送信する。
- 感染したデバイスからスパムやコマンドを拡散し、他のデバイスやネットワークに影響を与えます。
- ユーザーに対して詐欺行為をする。
アプリ、バイナリ、フレームワーク変更は害を及ぼすおそれがあるため、有害な動作が意図されていない場合でも、悪意のある動作を発生させる可能性があります。これは、アプリ、バイナリ、フレームワークの変更が、さまざまな変数に応じて異なる動作をする可能性があるためです。したがって、ある Android デバイスに害を及ぼすことが、別の Android デバイスにまったくリスクをもたらすことはありません。たとえば、最新バージョンの Android を搭載したデバイスは、サポートが終了した API を使用して悪意のある動作を実行する有害なアプリの影響を受けませんが、非常に古いバージョンの Android を搭載しているデバイスは、危険にさらされる可能性があります。アプリ、バイナリ、フレームワークの変更は、一部またはすべての Android デバイスとユーザーに明らかにリスクをもたらす場合、マルウェアまたは PHA として報告されます。
以下のマルウェア カテゴリは、ユーザーがデバイスがどのように利用されているかを理解し、堅牢なイノベーションと信頼できるユーザー エクスペリエンスを可能にする安全なエコシステムを促進するべきであるという Google の基本的な考え方を反映しています。
マルウェアのカテゴリ
バックドア
有害な可能性のある望ましくない操作を、デバイス上でリモート制御で実行できるようにするコード。
これらのオペレーションには、自動的に実行される場合に、アプリ、バイナリ、フレームワークの変更を他のマルウェア カテゴリのいずれかに配置する動作が含まれることがあります。一般的に、バックドアとは、デバイス上で有害な可能性のある操作がどのように発生するかを示すものです。したがって、請求詐欺や商用スパイウェアなどのカテゴリとは完全に一致しません。その結果、状況によっては、バックドアのサブセットが Google Play プロテクトによって脆弱性として扱われます。
請求に関する不正行為
欺瞞的な方法でユーザーに自動的に請求するコード。
モバイル請求詐欺には、SMS 詐欺、通話詐欺、電話料金詐欺に分けられます。
SMS を利用した不正行為
有料の SMS を同意なしで送信するためにユーザーに課金したり、SMS のアクティビティを偽装するために、ユーザーへの請求の通知や定期購入の確認を行う携帯通信会社からの開示契約や SMS メッセージを隠蔽するコード。
一部のコードでは、技術的には SMS の送信動作を開示していますが、SMS の不正行為に対応する別の動作を導入しています。たとえば、開示契約の一部をユーザーから隠す、読み取れないようにする、ユーザーに請求を知らせる、定期購入を確認する携帯通信会社からの SMS メッセージを条件付きで抑制する、などが挙げられます。
通話に関する不正行為
ユーザーの同意なしにプレミアム番号に電話をかけてユーザーに請求するコード。
通話料詐欺
携帯電話料金の請求を通じ、ユーザーをだましてコンテンツの定期購入や購入を行わせるコード。
通話料詐欺には、有料の SMS や通話以外のすべての請求タイプが含まれます。 たとえば、キャリア決済、ワイヤレス アプリケーション プロトコル(WAP)、モバイル エアタイム転送などがこれに該当します。WAP 詐欺は最も一般的なタイプの不正行為の一つです。WAP 詐欺には、暗黙的に読み込まれる透明な WebView で、ユーザーをだましてボタンをクリックさせようとする行為が含まれます。アクションを実行すると、定期的な定期購入が開始されます。多くの場合、確認用の SMS やメールがハイジャックされるため、ユーザーが金銭的な取引に気づかなくなります。
ストーカーウェア(商用スパイウェア)
適切な通知や同意なく、永続的な通知を表示せず、デバイスから個人情報や機密情報を収集または送信するコード。
ストーカーウェア アプリは、ユーザーの個人情報や機密情報をモニタリングし、そのデータを第三者に送信またはアクセスできるようにすることで、デバイスのユーザーをターゲットにします。
監視アプリとして承認を受けるためには、保護者による子供の追跡や企業管理のみを目的として設計、販売され、下記の要件を完全に満たしている必要があります。これらのアプリを、目的以外の人(たとえば配偶者)の追跡に使用することはできません。永続的な通知が表示されるかどうかに関係なく、たとえ追跡される人がそのことを認識し許可している場合でも使用できません。
サービス拒否攻撃(DoS)
ユーザーの知らないうちにサービス拒否(DoS)攻撃を実行するコード、または他のシステムやリソースに対する分散型 DoS 攻撃の一部であるコード。
たとえば、大量の HTTP リクエストを送信してリモート サーバーに過剰な負荷を発生させると発生する可能性があります。
悪意のあるダウンローダ
それ自体は有害な可能性があるが、他の PHA をダウンロードするコード。
以下の場合、コードは悪意のあるダウンローダーの可能性があります。
- PHA を拡散するために作られたと信じるに足りる理由があり、PHA がダウンロードされているか、アプリのダウンロードとインストールが可能なコードが含まれている。
- ダウンロードされるアプリの 5% 以上が PHA であり、観測対象アプリのダウンロード数が最小しきい値で 500(PHA のダウンロードが 25 件)以上である。
主要なブラウザやファイル共有アプリは、以下の場合、悪意のあるダウンローダーとはみなされません。
- ユーザーによる操作なしでダウンロードを促進しない。
- PHA のダウンロードはすべて、ユーザーの同意に基づいて開始されます。
Android 以外の脅威
Android 以外の脅威を含むコード。
これらのアプリは、Android のユーザーやデバイスに害を及ぼすことはできませんが、他のプラットフォームに害を及ぼす可能性のあるコンポーネントを含んでいます。
フィッシング
信頼できる提供元を装い、ユーザーの認証情報やお支払い情報をリクエストしてデータを第三者に送信するコード。このカテゴリは、転送中のユーザー認証情報の送信を傍受するコードにも適用されます。
フィッシングの一般的な標的には、銀行認証情報、クレジット カード番号、ソーシャル ネットワークやゲームのオンライン アカウント認証情報などがあります。
昇格させた権限の悪用
アプリ サンドボックスの破壊、昇格権限の取得、コアセキュリティ関連機能へのアクセスの変更または無効化などによってシステムの完全性を損なうコード。
次に例を示します。
- Android の権限モデルに違反するアプリ、他のアプリから認証情報(OAuth トークンなど)を盗むアプリ。
- アプリのアンインストールや停止を防ぐための機能を悪用するアプリ。
- SELinux を無効にするアプリ。
ユーザー権限なしでデバイスの root 権限を取得する権限昇格アプリは、root 権限取得アプリに分類されます。
ランサムウェア
デバイスまたはデバイス上のデータを部分的または広範囲に制御し、ユーザーに支払いを行うか、制御を解除するためのアクションを実行することを要求するコード。
一部のランサムウェアは、デバイス上のデータを暗号化してデータを復号するために支払いを要求します。また、一般的なユーザーでは削除できないようにデバイス管理機能を利用することもあります。次に例を示します。
- ユーザーをデバイスからロックアウトし、ユーザー制御の復元に対して金銭を要求する。
- デバイス上でデータを暗号化し、支払いを要求する(表面的にはデータを復号する)。
- Device Policy Manager の機能を活用し、ユーザーによる削除をブロックする。
デバイス管理の補助金を主な目的とするデバイスと一緒に配布されるコードは、セキュアロックと管理の要件、および適切なユーザー開示と同意の要件を十分に満たしていれば、ランサムウェア カテゴリから除外できます。
root 権限の取得
デバイスの root 権限を取得するコード。
悪意のないルートコードと悪意のあるルート権限のコードには違いがあります。たとえば、root 権限を取得するアプリは、ユーザーがデバイスの root 権限を取得することを事前にユーザーに知らせ、他の PHA カテゴリに該当する有害な可能性のあるアクションを実行しません。
悪意のある root 権限取得アプリは、ユーザーがデバイスの root 権限を取得することをユーザーに通知しません。または、事前にユーザーに root 権限取得について通知するだけでなく、他の PHA カテゴリに該当するアクションも実行します。
スパム
ユーザーの連絡先に未承諾メッセージを送信するコード、またはデバイスをメールのスパムリレーとして使用するコード。
スパイウェア
適切な通知や同意なく、デバイス上の個人データを送信するコード。
たとえば、以下の情報を開示せずに、またはユーザーの予期しない方法で送信するだけでは、スパイウェアと見なされます。
- 連絡先リスト
- SD カード内の写真やファイル、またはアプリが所有していないファイル
- ユーザーのメールの内容
- 通話履歴
- SMS のログ
- デフォルトのブラウザのウェブ履歴またはブラウザのブックマーク
- 他のアプリの /data/ ディレクトリからの情報
ユーザーを盗み見ていると見なされる行為も、スパイウェアとして報告されます。たとえば、音声の録音、スマートフォンにかかってきた通話の録音、アプリデータの盗難などです。
トロイの木馬
一見無害に見えるコード(ゲームだとだけ主張しているが、ユーザーに対して望ましくないアクションを実行するゲームなど)。
この分類は通常、他の PHA カテゴリと組み合わせて使用します。トロイの木馬には、無害なコンポーネントと隠された有害なコンポーネントがあります。たとえば、ユーザーが気付かないうちに、バックグラウンドでユーザーのデバイスから有料の SMS メッセージを送信するゲームなどです。
一般的でない
新しいアプリとまれなアプリは、安全であると確認できるだけの情報が Google Play プロテクトに不足している場合、一般的でないアプリとして分類されます。そのアプリが必ずしも有害であるというわけではありませんが、詳しい審査を行わないと安全であると判断することもできません。
マスクウェア
さまざまな回避手法を利用して、ユーザーに別のアプリ機能を提供するアプリ、または偽のアプリ機能を提供するアプリ。 こうしたアプリは、アプリストアにとって無害に見えるように正当なアプリやゲームであるかのように見せかけ、難読化、動的コードの読み込み、クローキングなどの手法を使用して悪意のあるコンテンツを公開します。
マスクウェアは他の PHA カテゴリ、特にトロイの木馬と似ていますが、主な違いは悪意のあるアクティビティを難読化する手法です。
モバイルの望ましくないソフトウェア(MUwS)
Google では、望ましくないソフトウェア(UwS)を、厳密にはマルウェアではなく、ソフトウェア エコシステムにとって有害なアプリとして定義しています。モバイル望ましくないソフトウェア(MUwS)は、他のアプリになりすましたり、ユーザーの同意なしに以下の情報の少なくとも 1 つを収集します。
- デバイスの電話番号
- メインのメールアドレス
- インストール済みのアプリに関する情報
- サードパーティ アカウントに関する情報
MUwS はマルウェアとは別にトラッキングされます。MUwS のカテゴリについては、こちらをご覧ください。
Google Play プロテクトの警告
Google Play プロテクトがマルウェアに関するポリシーに違反していることを検出すると、ユーザーに警告が表示されます。各違反の警告文字列については、こちらをご覧ください。