機械学習がGoogle Play上の新手の不正トレンドを発見
コネクティビティ

A New Way to Spot Malicious Apps 機械学習がGoogle Play上の新手の不正トレンドを発見

★5評価を書かないと広告を消さないアプリなど、Google Play上のマルウェアの新手法を機械学習が発見した。アプリのレビューに現れる不正を検出することでマルウェアを見つけ出す方法は今のところ有効だが、すぐに裏をかかれるだろう。 by Emerging Technology from the arXiv2017.03.20

マルウェア(悪意または不正な、あるいは迷惑をかけるアプリ)は、Google Playストアからアプリをダウンロードするアンドロイド・ユーザーには困った存在だ。ダウンロード可能なアプリは270万件もあり、ストアを信用を守るため、グーグルは「バウンサー(Bouncer:用心棒)」システムで迷惑アプリを検査し、削除している。しかし、かなりの数のアプリが安全策であるバウンサーをすり抜け、公開されたままだ。

そこでフロリダ国際大学(マイアミ)のマフムール・ラフマン研究員のチームは「フェアプレー」システムを開発した。Google Playストア内の不正行為を従来とは全く異なる方法で探知できるシステムだ。

フェアプレーは、悪意のあるソフトウェアのプログラムコードを検査するのではなく、ユーザーが過剰にレーティング(アプリに対する5段階評価)を高く付ける足跡をたどる。レビュー欄を見ることで、グーグルのセキュリティ・システムでは検出されない不正行為を発見できる。

研究チームの新手法は、興味深い観察結果に基づいている。アプリを過大評価するレビューを書き込むユーザーは、数多くのアプリをダウンロードする際、同じアカウントを利用する傾向がある。つまり、一度特定してしまえば、監視は簡単なのだ。

悪意のあるユーザーがひとつのアカウントを使い回す理由は簡単だ。Google Playにレビューやレーティングを残すには、ユーザーはまずグーグル・アカウントを作り、モバイル機器をアカウントに登録し、アプリをモバイル機器にダウンロードしなければならない。

つまり、別のアカウントを多く作るのは面倒だから、悪意のあるユーザーは、基本的にアカウントをひとつしか運用しない。研究チームの手法では、まず悪意のあるユーザーのアカウントを特定し、それから他のアカウントの動きを追跡する。

研究チームはまず、2014年10月から2015年5月までにGoogle Playに新規公開された全アプリのレビューやレーティング情報をダウンロードした。約9万アプリと300万レビュー分のデータだ。

さらに、従来のウィルス対策ソフトやアプリ詐欺に詳しい専門家の協力を得て、マルウェア等、200以上のアプリを特定した。こうして「究極の基準に沿った」不正アプリのデータ・セットを用意した。さらに専門家に依頼し、詐欺レビューを投稿しているグーグル・アカウントを特定してもらったところ、200以上の詐欺アプリにレビューを書き込んだ15アカウントが見つかった。

詐欺アプリ200件には、3万3000件のレビューが書き込まれていた。書き込まれたレビューをデータ解析すると、10件以上の詐欺アプリにレビューを投稿した188アカウントが見つかった。「私たちは、こうしたアカウントを連座アカウントと呼んでいます」 と研究チームはいう。

こうした全ての詐欺行為から、詐欺的レビューを400件選び、機械学習アルゴリズムの訓練に使い、同様のレビューを特定できるようにした。

さらに他にも悪意が疑われる行動(アプリがシステムのアクセス許可を要求する数、レーティングを付けるよう求めるやり方などのことで、特にレーティングを不自然に高くするよう求めている疑いのあるもの)を特定できるようフェアプレーを設計した。

こういった作業を経て、アルゴリズムにGoogle Play上で新公開された9万件のアプリ全体を調査させた。

興味深い結果が出た。「フェアプレーにより、現在グーグルのバウンサー検出テクノロジーでは対応できない詐欺アプリを何百も発見できました」と研究チームはいう。

より重要なのは、研究チームのアルゴリズムにより、あまり知られていない攻撃手法がわかったことだ。マルウェアが一般ユーザーに、詐欺アプリの肯定的なレビュー書くよう強要していたのだ。「フェアプレーのおかげで、新手の宣伝強制型攻撃手法が見つかりました。ユーザーは、アプリに対して肯定的なレビューを書くよう、執拗に求められるのです。さらに他のアプリまでインストールさせられ、またレビューを書かされるはめになります」と研究チームはいう。

レビューを強要する宣伝キャンペーンは、ユーザーに広告を次から次へと表示したり、ゲームをやりづらくしたりする。しかし、ユーザーが要求に応じると広告表示が解除され、ゲームが次のレベルに進めるようになったり、肯定的なレビューを書くと追加機能が使えるようになったりする。

研究チームはこの種の動向をレビュー・データ解析で掴んだ。3000のレビューから、何らかの強制を受けたことを明かす118件のレビューを見つけたのだ。たとえば「レーティングを付けたのは、プレイ中にポップアップが出るのが嫌だから」「レーティングを付けないと、1レベルもプレイ出来ない」「5つ星のレーティングを付けろと露骨に要求してくる」といったことがレビューに書かれていた。

こうして研究チームの手法は、グーグルのバウンサーでは特定できない、全く新手の詐欺強制攻撃を明らかにした。

現在の課題は、次はどう来るか、である。研究チームの方法のように、挙動を特定すれば取り締まりはやりやすい。しかし、しょせんはいたちごっこであり、悪意のあるユーザーが、何か独創的なごまかし方を新しく思いつくのは時間だ。

参照:arxiv.org/abs/1703.02002 : フェアプレー: Google Playでの詐欺とマルウェアの検出