マイクロソフトがクリップボード搾取に注意喚起、古い「SHEIN」アプリでの情報窃取も

　マイクロソフトは、古いバージョンのAndroid版「SHEIN」アプリで、クリップボードの内容を外部サーバーに送信していることを発見し、グーグル（Google）に報告していたことを明らかにした。あわせて、クリップボードの情報流出の危険性を啓発している。

クリップボードは、攻撃者にとって「魅力的」

　マイクロソフトは、モバイル端末においてユーザーがパスワードやカード情報などをコピー＆ペーストで利用することが多いとし、クリップボードの情報はサイバー攻撃のターゲットとして魅力的だとしている。

　たとえば、暗号通貨のやりとりで使用するアドレスをコピー＆ペーストする際、悪意を持って情報が書き換えられてしまうことがあるという。加えて、これらの攻撃は、脆弱性を悪用するものではなく、正当なシステムの機能を悪用するため、攻撃を軽減させることが困難になってきていると指摘する。

SHEINアプリで、不必要な動作

　マイクロソフトでは、古いバージョンのAndroid版「SHEIN」アプリで、Androidシステムのクリップボードを定期的に読み取り、特定の条件を満たすとクリップボードの情報をリモートサーバーに送信していることを発見した。マイクロソフトでは、この動作に悪意があったかは確認していないものの、ユーザーがアプリを使う上で必要ない動作だと評価したという。

　この動作について、マイクロソフトはアプリストアを運営するグーグルに報告し、2022年5月に当該動作が削除されたことを確認したという。

リモートサーバーへ情報を送信するコードを発見

　マイクロソフトでは、SHEINアプリの静的解析を行い、動作の原因となるコードを特定。コードを実際に実行しながら解析を進めると、「条件を満たした文字列をクリップボードから発見した場合、SHEINサーバーにパラメーターとして送信する」一連の動作を行う呼び出しを発見した。

マイクロソフトが確認した動作の呼び出しルート

　この解析の結果を検証するため、Android 9搭載のサムスン電子製端末で動的解析を実施し、一連の動作を確認したという。

Android OSでクリップボード関連のリスクを改善

　マイクロソフトの今回の報告などさまざまな問題報告を受けて、グーグルはクリップボードへのアクセスに関するリスクを認識し、Android OSの改善を実施している。

　Android 10では、バックグラウンドで動くアプリケーションに対する対策を実施し、Android 12以降では、アプリケーションがクリップボードのデータにアクセスする際、ユーザーに「クリップボードから貼り付けられた」旨を通知することで、ユーザーが情報窃取から自身を守ることができる。

　Android 13では、一定期間後にクリップボードの情報が消去されるため、より情報窃取被害を防ぐことができる。

情報窃取被害から守るためにユーザーがすべきこと

　マイクロソフトでは、今回のSHEINアプリの動作に悪意があったとは確認していないとした上で、「一見よさそうな動作でも、悪意を持って使われることがある」とし、ユーザーに注意喚起している。

　ユーザーには、「デバイスとアプリを常に最新にしておく」ことや「信用できない場所からアプリをダウンロードしない」ことを勧めている。また、クリップボードへのアクセスに関する通知など「ユーザーが予想していない動作をする」アプリについては、アプリの削除を検討し、開発元やアプリストアの運営者に報告するよう案内している。