マルウェアのカテゴリ

マルウェアに関するポリシーはシンプルです。Google Play ストアやユーザー デバイスを含め、Android エコシステムから悪意のある行為(マルウェアなど)を完全になくす必要があります。この基本原則に沿って、Google のユーザーとその Android デバイスに安全な Android エコシステムを提供できるよう努めています。

マルウェアとは、ユーザー、ユーザーのデータ、またはデバイスを危険にさらすおそれのあるすべてのコードを指します。マルウェアには、有害な可能性があるアプリ(PHA)、バイナリ、フレームワーク変更などがあり、トロイの木馬、フィッシング、スパイウェア アプリなどのカテゴリで構成されます。Google は継続的に更新し、新しいカテゴリを追加しています。

マルウェアは、種類や能力はそれぞれ異なりますが、通常は以下のいずれかを目的としています。

  • ユーザーのデバイスの完全性を損なう。
  • ユーザーのデバイスを制御します。
  • 攻撃者が感染したデバイスにアクセスしたり、デバイスを使用したり、悪用したりすることを、リモート制御で実行できるようにする。
  • 適切な開示や同意なく、デバイス上の個人データや認証情報を送信する。
  • 感染したデバイスからスパムやコマンドを拡散し、他のデバイスやネットワークに影響を与えます。
  • ユーザーに対して詐欺行為をする。

アプリ、バイナリ、フレームワークの変更は有害なおそれがあるため、有害であることを意図していなくても、悪意のある動作が発生する可能性があります。これは、アプリ、バイナリ、フレームワークの変更が、さまざまな変数に応じて異なる動作をする可能性があるためです。そのため、ある Android デバイスにとって有害なものが、別の Android デバイスにはまったくリスクをもたらすことがない場合もあります。たとえば、最新バージョンの Android を搭載しているデバイスは、非推奨の API を使用して悪意のある動作を実行する有害なアプリの影響を受けませんが、非常に初期バージョンの Android を搭載しているデバイスは、危険にさらされる可能性があります。アプリ、バイナリ、フレームワークの変更が、一部またはすべての Android デバイスとユーザーに明らかにリスクをもたらす場合、マルウェアまたは PHA として報告されます。

下記のマルウェア カテゴリは、ユーザーがデバイスがどのように利用されているかを理解し、堅牢なイノベーションと信頼できるユーザー エクスペリエンスを可能にする安全なエコシステムを推進するべきであるという Google の基本的な考え方を反映しています。

マルウェアのカテゴリ

バックドア

バックドア

有害な可能性のある望ましくない操作を、デバイスに対してリモートで実行できるようにするコード。

これらのオペレーションには、自動的に実行された場合に、アプリ、バイナリ、フレームワークの変更を他のマルウェア カテゴリのいずれかに配置する動作が含まれることがあります。一般に、バックドアとは、デバイスで有害な可能性のあるオペレーションが発生する可能性があることを表すため、請求詐欺や商用スパイウェアなどのカテゴリとは完全に一致しません。そのため、状況によってはバックドアのサブセットが Google Play プロテクトで脆弱性として扱われます。

請求に関する不正行為

請求に関する不正行為

詐欺的な方法でユーザーに自動的に請求を行うコード。

モバイル請求詐欺には、SMS 詐欺、通話詐欺、Toll 詐欺に分けられます。

SMS による不正行為

同意なしにプレミアム SMS を送信するためにユーザーに課金するコード、またはユーザーに請求の通知や定期購入の確認を行う携帯通信会社から開示契約や SMS メッセージを隠して SMS アクティビティを偽装しようとするコード。

一部のコードでは、SMS 送信動作は技術的には開示されていますが、SMS の不正行為に対応する追加の動作が導入されています。たとえば、開示契約の一部をユーザーから隠す、読み取れないようにする、ユーザーに請求を知らせる、定期購入を確認する携帯通信会社からの SMS メッセージを条件付きで抑制する、などです。

通話に関する不正行為

ユーザーの同意なしにプレミアム番号に電話をかけてユーザーに請求を行うコード。

通話料の不正利用

携帯電話料金の請求を通じ、ユーザーをだましてコンテンツの定期購入や購入に誘導するコード。

通話料詐欺には、プレミアム SMS とプレミアム通話を除くすべての種類の請求が含まれます。たとえば、キャリア決済、ワイヤレス アプリケーション プロトコル(WAP)、モバイル通信時間転送などが挙げられます。WAP 詐欺は最も一般的なタイプの料金詐欺の一つです。WAP 詐欺には、通知なく読み込まれる透明性の高い WebView でユーザーを欺いてボタンをクリックさせる行為が含まれます。アクションを実行すると、定期的な定期購入が開始されます。多くの場合、確認 SMS やメールが乗っ取られて、ユーザーが金融取引に気づかなくなります。

ストーカーウェア

ストーカーウェア(商用スパイウェア)

適切な通知や同意なく、永続的な通知を表示せず、デバイス上の個人情報や機密情報を収集または送信するコード。

ストーカーウェア アプリは、ユーザーの個人情報や機密情報をモニタリングし、第三者に送信またはアクセスできるようにすることで、デバイスのユーザーをターゲットにします。

保護者による子供の追跡または企業管理のみを目的として設計、販売されているアプリは、監視アプリとしてのみ、下記の要件を完全に満たしている必要があります。これらのアプリを、目的以外の人(たとえば配偶者)の追跡に使用することはできません。永続的な通知が表示されるかどうかに関係なく、たとえ追跡される人がそのことを認識し許可している場合でも使用できません。

サービス拒否

サービス拒否攻撃(DoS)

ユーザーが認識せずにサービス拒否(DoS)攻撃を実行するコードや、他のシステムやリソースに対する分散型 DoS 攻撃の一部であるコード。

たとえば、大量の HTTP リクエストを送信してリモート サーバーに過剰な負荷を発生させると、このようなエラーが発生することがあります。

悪意のあるダウンローダ

悪意のあるダウンローダ

それ自体は有害な可能性があるが、他の PHA をダウンロードするコード。

次のようなコードは、悪意のあるダウンローダである可能性があります。

  • アプリが PHA を拡散するために作成されたと信じるに足る理由から、PHA をダウンロードしている、またはアプリをダウンロードしてインストールする可能性のあるコードが含まれている。
  • この方法でダウンロードされるアプリの少なくとも 5% が PHA であり、測定されたアプリ ダウンロードの最低しきい値は 500(確認された PHA ダウンロードは 25)です。

主要なブラウザやファイル共有アプリは、以下の場合は悪意のあるダウンローダとは見なされません。

  • ユーザーの操作なしでダウンロードを促進しない。
  • PHA のダウンロードはすべて、ユーザーの同意に基づいて開始されます。
Android 以外の脅威

Android 以外の脅威

Android 以外の脅威を含むコード。

このようなアプリは、Android のユーザーやデバイスに害を及ぼすことはありませんが、他のプラットフォームに害を及ぼす可能性があるコンポーネントが含まれています。

フィッシング

フィッシング

信頼できる提供元を装い、ユーザーの認証情報やお支払い情報をリクエストして、そのデータをサードパーティに送信するコード。このカテゴリは、転送中のユーザー認証情報を傍受するコードにも適用されます。

フィッシングの一般的な標的には、銀行の認証情報、クレジット カード番号、ソーシャル ネットワークやゲームのオンライン アカウント認証情報などがあります。

権限昇格

昇格させた権限の悪用

アプリ サンドボックスの破壊、昇格権限の取得、セキュリティ関連の重要な機能へのアクセスの変更または無効化などにより、システムの完全性を損なうコード。

次に例を示します。

  • Android の権限モデルに違反するアプリ、他のアプリから認証情報(OAuth トークンなど)を盗むアプリ。
  • アンインストールや停止を妨げる機能を悪用するアプリ。
  • SELinux を無効にするアプリ。

ユーザーの権限なしでデバイスの root 権限を取得する権限昇格アプリは、root 権限取得アプリに分類されます。

ランサムウェア

ランサムウェア

デバイスやデバイス上のデータを部分的または広範囲に制御し、ユーザーに支払いや制御を解除するためのアクションの実行を要求するコード。

一部のランサムウェアは、デバイス上のデータを暗号化し、データを復号するために支払いを要求します。また、一般的なユーザーでは削除できないようにデバイス管理機能を利用します。次に例を示します。

  • ユーザーをデバイスからロックアウトし、ユーザー コントロールを復元するために金銭を要求する。
  • デバイス上のデータを暗号化し、場合によってはデータを復号するための支払いを要求する。
  • Device Policy Manager の機能を活用し、ユーザーによる削除をブロックしている。

デバイス管理の補助金を主な目的としてデバイスに配布されるコードは、安全なロックと管理の要件、および適切なユーザー開示と同意の要件を満たしていれば、ランサムウェアのカテゴリから除外できます。

root 権限の取得

root 権限の取得

デバイスの root 権限を取得するコード。

root 権限を取得するコードには、悪意がないものと悪意のあるものがあり、たとえば、root 権限を取得するアプリは、ユーザーがデバイスの root 権限を取得することを事前にユーザーに通知し、他の PHA カテゴリに該当する有害な可能性のあるアクションを実行しません。

悪意のある root 権限取得アプリは、デバイスの root 権限を取得することをユーザーに通知しません。または、事前にユーザーに root 権限取得を通知する一方で、他の PHA カテゴリに該当するアクションも実行します。

スパム

スパム

ユーザーの連絡先に未承諾のメッセージを送信するコード、またはデバイスを迷惑メールのリレーとして使用するコード。


root 権限の取得

スパイウェア

適切な通知や同意なく、デバイス上の個人データを送信するコード。

たとえば、下記の情報を開示することなく、またはユーザーに予期しない方法で送信するだけでは、スパイウェアとみなされます。

  • 連絡先リスト
  • SD カード内の写真や、アプリが所有していないファイル
  • ユーザーのメールの内容
  • 通話履歴
  • SMS のログ
  • デフォルトのブラウザの閲覧履歴またはブラウザのブックマーク
  • 他のアプリの /data/ ディレクトリからの情報

ユーザーを盗み見ていると見なされる動作も、スパイウェアとして報告できます。たとえば、音声の録音、通話の録音、アプリデータの盗用などです。

トロイの木馬

トロイの木馬

一見すると無害に見えるコード(ゲームだと主張しているだけで、ユーザーに好ましくないアクションを実行するゲームなど)。

この分類は通常、他の PHA カテゴリと組み合わせて使用します。 トロイの木馬には、無害な要素と隠された有害な要素があります。たとえば、ユーザーの理解を得ずに、バックグラウンドでユーザーのデバイスからプレミアム SMS メッセージを送信するゲーム。

一般的でない

一般的でない

新しいアプリとまれなアプリは、Google Play プロテクトで安全だと確認できるだけの十分な情報がない場合、一般的でないアプリに分類されることがあります。アプリが必ずしも有害であるとは限りませんが、さらに審査しなければ安全性がないと判断できません。

マスクウェア

マスクウェア

ユーザーにさまざまな(架空の)アプリ機能を提供するために、さまざまな回避手法を利用するアプリ。 こうしたアプリは、正規のアプリやゲームであるかのように見せかけて、アプリストアに無害であるかのように見せかけ、難読化、動的なコード読み込み、クローキングなどの手法で悪意のあるコンテンツを公開します。

マスクウェアは他の PHA カテゴリ、特に Trojan と似ていますが、主な違いは悪意のあるアクティビティを難読化する手法です。

モバイルの望ましくないソフトウェア(MUwS)

Google では、望ましくないソフトウェア(UwS)を、厳密にはマルウェアではないものの、ソフトウェア エコシステムに有害なアプリとして定義しています。モバイル望ましくないソフトウェア(MUwS)は、他のアプリになりすましたり、ユーザーの同意なしに以下の少なくとも 1 つを収集したりします。

  • デバイスの電話番号
  • メインのメールアドレス
  • インストール済みのアプリに関する情報
  • サードパーティ アカウントに関する情報

MUwS はマルウェアとは別にトラッキングされます。 MUwS カテゴリはこちらで確認できます。

Google Play プロテクトの警告

Google Play プロテクトがマルウェア ポリシー違反を検出すると、ユーザーに警告が表示されます。各違反の警告文字列については、こちらをご覧ください。