NHK NEWS WEBにて、「本物そっくり！？『偽・佐川』に厳重注意を！」なる記事が公開されました。記事の内容としては、佐川急便を装う偽サイトによる攻撃への注意喚起となっています。

要約すると、最近、佐川急便を装うスパムSMSが多くのユーザーに送りつけられている。そこに掲載されたURLのリンク先は、佐川急便の公式サイトそっくりの偽サイト。このサイトの荷物追跡部分がアプリへのリンクとなっており、これをインストールすると、スマートフォンが他人への迷惑SMSを送るなどの被害を受ける、という内容です。

実際に偽サイトを確認したところ「sagawa.apk」なる攻撃ファイルをインストールさせる仕組みとなっています。

つまりNHKが本件で最も伝えなければならないはずの最重要事項は、Androidの設定から「提供元不明のアプリ」のチェックボックスをオンにしてはならない、必ずオフにする、という極めてシンプルな対策です。以下は筆者の作成した画像です。Android端末をお使いの読者の皆さんも、この機会に確認を。（2018年7月28日20時45分追記：Android 8.0の場合のスクリーンショットを追記）

ところがNHKは、アンチウイルスソフト「ウイルスバスター」の販売などを行う会社「トレンドマイクロ」の広報担当者の説明を引用しながら、長々と回りくどい説明に終始しています。インストールしないことが大事であるのに、インストールしてしまった場合の症状や攻撃手法について羅列した挙げ句、以下のような適切でない画像を摘示しています。

「見覚えのないアプリは速やかに削除すること。そして、自分がどんなアカウントを利用していたかを確認し、パスワードを変更したり、企業に相談したりするなどしてほしい」（中吉さん） （問題のスクリーンショット） 削除するには、アプリのアイコンを長押ししてアンインストールすること。 「設定」からアンインストールするケースもあります。

本件はAndroidに悪意のあるソフトウェアをインストールさせる事案であり、最も重要なのは、提供元不明アプリのチェックボックスをオフにしたままにすることです。それを説明せず、あたかも無関係なiOS・iPhone含むスマホ全般に影響のある攻撃であるかのように錯誤させるスクリーンショットは、大きな誤解を招くと思います。

また、NHKは記事末尾で見抜くポイントとして以下を羅列していますが、「提供元不明アプリのチェックボックスをオフにする」という最も重要な核心を伝えていません。

▽メールの文面やＵＲＬがおかしくないか。

▽注意を呼びかける情報が出ていないか、企業のホームページを見て確認する。

▽アプリは公式アプリストアからのみダウンロードする。

▽セキュリティー対策ソフトを入れる。

▽端末のＯＳおよびアプリを定期的に更新する、など。

トレンドマイクロの主張を鵜呑みにした記事であることが推察され、最も重要な対策法を書かないでおきながら、ちゃっかりとセキュリティー対策ソフトのインストールは推奨していることから、SNS上ではトレンドマイクロのステルスマーケティングに加担する事実上の宣伝記事ではないかとの批判の声も上がっています。トレンドマイクロはAndroid / iOS向けにウイルスバスターモバイルを販売しています。

近年、MicrosoftのWindows 10 OSに付属する標準のセキュリティーソフトであるWindows Defenderが高評価を獲得。さらにモバイル端末が普及し、Web閲覧のメインもPCからスマートフォンへと移行した昨今、iOSは当初からセキュリティーは堅牢で、Android OSにも標準でアンチウイルス・セキュリティーソフトであるGoogle Play プロテクトが組み込まれて安全性が高まっています。従来のようなアンチウイルスソフトを別途購入する必要性は、今や薄れつつあるのが実情です。

かつてトレンドマイクロは、楽天の「楽天アプリ市場」に協力していました。「楽天アプリ市場」は、提供元不明アプリのチェックボックスをオンにすることを前提にした仕様であったため、利用者の端末を脆弱にすると厳しく批判を受けていました。同サービスは既に終了しています。

セキュリティー専門家の高木浩光氏は自身のブログの2018年6月10日の投稿にて、トレンドマイクロがマスコミ各社に不正確な説明を繰り返している可能性を指摘しています。

視聴者の受信料収入で運営され、安易に企業の営利宣伝活動に加担してはならないはずなのが公共放送NHKです。あたかもiOSにまで影響のあるものと閲覧者に誤解させ、対策の核心を伝えず、アンチウイルスソフトのインストールを促すという記事は、いかがなものでしょうか。

NHKに対し以下のような問い合わせを送っているので、回答が得られ次第追記します。

本件はapkファイルをインストールさせるものであり、性質上Androidに限られた案件だが、記事中のスクリーンショットでiOSの画面を使用することは大きな誤解を招くのではないか。 最も重要なのは「Androidの設定から提供元不明のアプリのチェックボックスをオフにすること」であり、ウイルス対策ソフト以前の問題のはずだが、なぜ記載がないのか。 トレンドマイクロからの情報を大して精査せずに載せていると推察するが、結果として不正確で、宣伝記事にすらなっているのではないか。これは公共放送として極めて問題ではないか。

2018年7月29日14時29分追記：NHKより、今回の記事の主旨はこのような手口があることを広く知らせ、同様の手口の被害に遭わないよう呼びかけたもので、今後は指摘の内容も踏まえ情報を伝えていきたいとの返答がありました。返信と時を同じくして、該当記事からiOSのスクリーンショットが削除されたことを確認しました。