Twitterは、買収したMoPubを活用し、Twitterマーケターがモバイルアプリのプロモーションと配信を行えるようにすると発表しました。しかし、ユーザーがTwitterフィードから無意識にアプリをダウンロードするようになれば、攻撃者に悪用される可能性があります。
一見すると、この動きはソーシャルメディアプラットフォームを通じてマーケティングを行う企業にとって良い兆候のように思えます。Twitterのブログ投稿によると、MoPub Marketplaceは10億以上のユニークデバイスにリーチし、AndroidおよびiOSアプリ内で毎月1,300億回以上の広告を配信しています。これにより、MoPub Marketplaceの広告主は2億4,100万人のアクティブなTwitterユーザーに同時にマーケティングを展開できるようになります。
悪意のあるアプリは、Twitter からアプリをダウンロードするように設定されたユーザーを悪用する可能性があります。
ソフォスのセキュリティリサーチ部門グローバルヘッド、ジェームズ・ライン氏は、マーケティングの観点からは理にかなっていると認めつつも、システムの悪用の可能性を懸念している。「現時点で入手可能な詳細情報からは、アプリの検証がどのように行われるのか、また悪意のあるプロバイダーが広告を掲載したり、アプリの配布料を支払ったりする機会があるのかどうかは明らかではありません。チェック・アンド・バランスは存在するかもしれませんが、それがどれほど堅牢なものになるかは、今後確認していく必要があります。」
TripwireのITセキュリティおよびリスク戦略担当ディレクター、ティム・アーリン氏によると、Twitterのストリームでアプリを公開すること自体は、セキュリティ上の懸念事項ではないという。Twitterユーザーは既に、ほんの短い文章を根拠にリンク(多くの場合、リンク先が不明瞭な短縮URL)をクリックするように慣れている。
「この種の攻撃は、何千人ものフォロワーを抱える、一見信頼できるTwitterアカウントが侵害されたときに最も成功します。なぜなら、ユーザーは既にクリックすることに慣れているからです」と彼は言います。「その時点では、リンクがアプリのインストール用であろうと、悪意のあるウェブサイトへのリンクであろうと、侵害のリスクは同じです。」
しかし、これはまるで無法地帯のような、まるで天地が崩れ落ちるようなシナリオではないことを強調しておきたい。Tripwireのセキュリティ研究者、クレイグ・ヤング氏は、TwitterのシステムはマーケターがGoogle PlayやiTunes App Storeでホストしているアプリへのリンクを貼る手段を提供しているに過ぎないと指摘する。どちらのマーケットプレイスもある程度は管理されているが、悪質なアプリはどちらのプラットフォームでも発見されている。
それでも、ヤング氏は「適切に実装されなければ、この種のシステムはドライブバイダウンロード型の攻撃に悪用される可能性が確実にある」と警告している。
しかし、より大きなセキュリティ上の懸念は、ユーザー行動の条件付けです。たとえTwitterが、ソーシャルネットワークを通じて公式に配信されているマーケターやアプリを検証するための適切なセキュリティ管理体制を整備していたとしても、正当なツイートにアプリのダウンロードリンクが含まれているという事実は、わずか140文字の宣伝文句だけで、ユーザーをアプリをクリックしてインストールさせるように仕向けてしまうでしょう。
「ユーザーがまずクリックしてから後で考える、つまりアプリが表示する許可や警告をすべて受け入れる傾向がさらに強まる可能性があります」とLyne氏は言う。「Twitterがこのチェックに適切な投資をしてくれることを願っています…しかし、より重要なのは、ユーザーが引き続き警戒を怠らず、アプリの広告を盲目的に信じないことです。」
