TapTrap

TapTrapはタップジャッキング攻撃を さらに進めたかたちになっている攻撃手法です。
この攻撃手法は複数のインフラで実施できることがわかっているのですが、全体としてはまだ安全になっていません。
どのような内容なのでしょうか。

  • 標的はAndroid
    この攻撃手法が実施できるのは、WebブラウザであるChromeやFirefoxやAndroidです。
    責任を持った開示により、順次、それぞれのソフトウェアでの対応が進んでいます。
    ChromeとFirefoxにおいては、2025年3月にリリースされたそれぞれの更新で対策することができた状態になりました。
    しかし、Androidでは、まだ対策が提供されていません。
    Androidと互換性のあるGrapheneOSでは2025年7月に対策が提供されましたので、技術的には対策ができることが確認できたともいえそうですが、本家のAndroidではまだ対策はリリースとなっていません。
  • 意図せずタップさせる
    これが、このTapTrapの作戦です。
    従来のタップジャッキング攻撃は、正規のアプリケーションの上に悪意のあるウィンドウを重ねて表示し、ユーザーを欺いて意図しない操作を誘導する方式でした。
    この方式は多く悪用されたため、現在では多くのセキュリティ機構がこれを検出し防ぐことができるようになりました。
    そこで出てきたのがTapTrapです。
    こちらは似てはいますが、別の作戦を選択しました。
    画面に透明化したアニメーションを表示し、画面の特定の部分をタップするように誘導します。
    そのタップさせる部分に攻撃者の期待する権限を許可するボタンを配置するということを実施することで、ユーザ自身に権限昇格を実現させます。
    このため、この攻撃を実施する前のマルウェアは特別な権限が必要ない状態でOKなのです。
    一見無害に思える、というわけです。
    同じような方法で、権限の取得だけでなく、通知を傍受することによる多要素認証の安全性の崩壊、カメラやマイクや位置情報などのデータへのアクセス、デバイスの初期化、なども実現できるようになります。

この攻撃に対し、Androidはまだ脆弱です。
新たなアプリを手元のAndroidにインストールしようとする際、特別な権限を要求されていないから安全だ、とは言えません。
現時点で利用者の立場で実施できるのは、こういった脅威があるということを踏まえてファイルの入手には気をつけていくということのみかもしれません。
そして、更新を入手できるようになった際には速やかに適用しましょう。

TapTrap: Animation-Driven Tapjacking on Android

https://taptrap.click/

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。