こんにちは、ゆるいぞITチャンネルです。
今回はスマートフォンやタブレットのハッキングについて「ハッキングされた場合の症状や具体的な確認方法」を解説していきたいと思います
「自分は大丈夫」と思っていても、気づかないうちに裏で何かが動いているかもしれません。
今回は「ハッキングされた際によく見られる症状」と、「実際に通信を解析して確認する具体的な方法」をご紹介します。
※Youtubeでは動画版をご視聴いただけます。
- 最近スマホのバッテリーの減りが異常に早いと感じる人
- 身に覚えのないアプリが勝手にインストールされていた人
- 自分のスマホが不正な通信をしていないか確認したい人
- セキュリティの知識を少し深めたい人
1.ハッキングを疑うべき7つの症状
ゆるいぞIT
もし以下のような症状が出ている場合はクラッキングを疑ったほうがいいかもしれません。
バッテリーの消耗が激しい
例えば、今までは1日ぐらいは普通にバッテリーが持ってたのに「ここ最近は半日ぐらいで充電切れるな…」とか。
使う方にもよるので一概に言えませんが、あきらかに今までよりバッテリーの減りが早い場合ですね。
こういった場合はバックグラウンドで何かのアプリやプログラムが動いてる可能性があって、その影響でバッテリーの減りが早くなってる可能性があります。
端末が発熱している(使用していない時)
充電中は熱くなったりする時もあると思いますが、何もしてないのに発熱してる状態が続く場合。
これも先ほどと同様にバックグラウンドで何かしらのアプリやプログラムが動いていて、その影響でスマホが熱くなってる可能性があります。
アプリが頻繁にクラッシュする
一時的に負荷が高くなった影響で落ちたりする時もあると思いますが、日に何回も落ちる場合は怪しいかもしれません。
こういった場合は裏で動いているプログラムが自分のリソースを確保する為に他のアプリを強制的に落としていたり、悪意のあるプログラムが競合して落ちていたり、そんなような可能性が考えられます。
身に覚えのないアプリがある
クラッキングされて変なアプリを仕込まれてしまった場合。
そのアプリ経由で外にいるサーバと通信していたり、攻撃用のデバイスとして使われたり、色々と良くないことに利用されている可能性があります。
アプリのアイコンを偽装できたりもするので、インストールされたことに気づいていない可能性もあります。
データ通信量が極端に多い
普段はひと月で5GBぐらいの通信料なのに、それが10GBとか20GBに通信量が増えている場合。
これも外部のサーバと通信していたり、攻撃用のデバイスとして利用されている影響で通信量が多くなっている可能性があります。
カメラやマイクが勝手に起動する
クラッキングされてスマホのカメラやマイク経由で盗撮・盗聴されている場合。
過去の動画でも少し紹介しましたが、悪意のあるリンクやファイルを踏ませることでセッションを奪って起動させたり、マルウェアに感染させることで強制的に起動させたり、いくつか方法があったりします。
送信していないSMSが送られている
これは自分のスマホが攻撃用のデバイスとして使われている場合とかですね。
怪しいリンクをばら撒くために知らないうちに自分とは関係のないスマホにSMSを送ってしまっていたり…
SMSって使う機会が少ないので、気づきにくいと思うんでけど、そういった場合もあります。
2.ハッキングの仕組み(C&Cサーバとは)
ゆるいぞIT
確認方法へ移る前に、少しだけハッキングの仕組みを説明します。
ハッキングを受けている場合、スマホやタブレット等のデバイスはインターネット上の「C&Cサーバ(コマンド&コントロールサーバ)」と通信している可能性が高いです。
なので確認する内容としては「使用しているデバイスとC&Cサーバが通信している痕跡を探す」というのが確認するポイントになります。
通信している痕跡があればハッキングされている可能性があるし、痕跡がなければセーフってことになりますね。
3.通信データの取得を実施する
ゆるいぞIT
ここからはパソコンを使って、実際にスマホの通信を調べてみましょう。
ネットワーク上を流れる通信を可視化するツール「Wireshark(ワイヤーシャーク)」をパソコンにインストールします。
※インストール手順は公式サイトからインストーラーをダウンロードして、セットアップメニューに従うだけなので割愛します。
スマホの通信をパソコン経由にして、その中身を覗くための準備になります。
① Windowsの検索ボックスに「ネットワーク接続の表示」と入力し、メニュー画面を開きます。
② 現在有効化されているネットワークアダプタを確認しておきます。
(確認したら、この画面はこのまま開いておきます。)
③ 設定から「ネットワークとインターネット」を開きます。
④ 一覧から「モバイルスポット」をクリックします。
⑤ モバイルスポットを「オン」にします。
⑥ プロパティ欄に表示されている「名前」と「パスワード」をメモしておきます。
⑦ 先ほど開いておいた「ネットワーク接続」を再度開きます。
⑧ 「ローカル エリア接続xx」という名称のアダプタが追加されていることを確認します。
(末尾の番号は使用しているパソコンによって異なりますのでご注意ください。)
① インストールしたWiresharkを開きます。
② ホーム画面に表示されているアダプタ一覧から、先ほど確認したアダプタをダブルクリックします。
③ 画面が切り替わってキャプチャが開始されたことを確認します。
④ スマホの設定画面を開いてWi-Fiを有効にします。
⑤ 先ほど有効にしたモバイルスポットの名前を選択してパスワードを入力します。
⑥ Wiresharkでスマホの通信のキャプチャが開始されるので3分ほど放置しておきます。
⑦ データの収集が完了したら停止ボタンをクリックします。
⑧ ファイルメニューからエキスパート解析を選択してCSVファイルを保存します。
この保存したCSVファイルがスマホの通信を収集した解析用のファイルになります。
保存したCSVファイルの中身を解析しやすいように整形します。
CSVファイルを開くといくつかデータが並んでいますが、見るべき場所は「Source(送信元)」と「Destination(送信先)」のIPアドレスになります。
① まずは「Source」の列を全てコピーして、別なシートに貼りつけます。
② ツールバーの「データ」を開いて「重複の削除」を選択します。
③ OKボタンをクリックして重複の削除を実行します。
④ 今実行した手順を「Destination」の列でも同じように実行します。
⑤ 次に「Source」と「Destination」の列を合体させます。
⑥ 「Destination」の列を全て選択してコピーします。
⑦ 「Source」の最後のセルの下に貼りつけます。
⑧ これで「Source」と「Destination」の列を合体できたので、先ほどと同じように重複削除を実施します。
⑨ ファイルを保存して解析用データの成形は完了になります。
4.IPアドレスの安全性をチェックする
スマホが通信しているサーバのIPアドレス情報が取得できたので、あとはこのデータを検索サイトにかけることでC&Cサーバと通信しているかを確認します。
今回は「VirusTotal」というサイトを使用します。
「Virus Total」はファイルやWebサイトがマルウェアに感染してないかをチェックできるサイトでGoogleが提供しているサービスの一つになります。
「Virus Total」を開いたら、メニューからSEARCHをクリックします。
検索欄に解析用ファイルのIPアドレスを貼り付けて検索します。
【判定の見方】
- 検出数 0 : 問題ないサーバです(AppleやGoogleなどの正規サーバなど)。
- 検出数 1〜2 : 誤検知の可能性がありますが、少し注意。
- 検出数 10〜20以上 : 赤色で警告が表示されます。ハッキングに関わる危険なサーバ(C&Cサーバなど)である可能性が高いです。
これをリストにある全てのIPアドレスで実施して、全て「シロ」であれば現状は問題ないと言えます。
仮に危険性のあるサーバと通信していた場合は個人で対象することは難しいと思うので、自分で対処しようとは考えないで専門に業者に相談した方がいいでしょう。
スマホを再起動したり、初期化しただけでは対処できない場合もあるので、「モバイル通信を切る」、「機内モードにしてネットワークから遮断する」といった状態にして専門の業者に連絡します。
5.最後に
今回はスマホのハッキング症状とWiresharkを使った通信解析の方法について解説しました。
「なんだかスマホの挙動がおかしいな?」と思ったら、まずは焦らずに今回のチェックリストを確認してみてください。
実際に通信を確認してみることで、漠然とした不安を解消できるかもしれません。
ということで、今回はここまでにしたいと思います。
それではまた次回お会いしましょう!
