【インタビュー】

スマートフォン向けマルウェアは激増中 - LAC 山城氏

 

スマートフォンのマルウェアが急増しているワケ

消費者や企業の間で急速に利用者が増えているスマートフォン。だが、そのセキュリティの実態については、ITに詳しい人の間でも意外に知られていないことが多い。

例えば、スマートフォンのマルウェアの数である。セキュリティ関連サービスを展開するラックのサイバーセキュリティ研究所で研究員を務める山城重成氏は、こう話す。

ラック サイバーセキュリティ研究所 研究員の山城重成氏。11月22日(火)に開催する本誌主催のセミナー「2011 Webセキュリティセミナー」でスマートフォン向けマルウェアの最新動向についてデモを交えながら解説する。

「スマートフォンのマルウェアは今年に入ってから急増している状況です。全世界のiPhone、Android、BlackBerryなどを対象にしたマルウェアの数は、2009年では3件、2010年では5件でしたが、今年は10月中旬まで40件を超えました。これらは亜種を除いた数ですので、実際には、数千種類が存在していてもおかしくはありません。」

山城氏は、スマートフォンのセキュリティを中心に、未知の脅威やマルウェアの攻撃手法などを研究するスペシャリストだ。同氏によると、マルウェアが急増したのは、単にユーザー数が増加したからだけではない。特にAndroidに関して言えることだが、OSをオープンソースとして公開し、アプリをオープンなマーケットで誰でも自由に公開できるようにしている点が、攻撃者にとって、狙いやすい環境を作ることにつながっているという。

「スマートフォンのマルウェアの攻撃のほとんどは、アプリをダウンロードすることをトリガーにして引き起こされます。その背景には、OSが公開されているため脆弱性がより見つけやすくなっていること、そして、不正なアプリが公開されてもそれを審査することが難しいといった問題があります。攻撃者は、OSの脆弱性をついて攻撃を仕掛けるアプリをマーケットに公開し、それをダウンロードさせようとします。」(同氏)

ウィルス対策ソフトで完全な駆除が出来ないケースも

スマートフォンがPCや携帯電話といったこれまでのカテゴリーに属さない新しいデバイスであることも、問題を複雑化する要因になっている。

まず、個人の意識のあり方として、携帯電話の延長にあるデバイスとみるか、PCの延長にあるデバイスとみるかで、セキュリティ対策への取り組み方が変わってくる。例えば、携帯電話の延長と考えてないユーザーなら、アプリをダウンロードすることにそれほどのリスクを感じないだろう。そのようなユーザーは、多少おかしな要素のあるアプリケーションでも気付くことなくインストールしてしまう可能性が高い。

もちろん、PCの延長と考え、アプリをダウンロードすることにリスクを感じるようなセキュリティ意識の高いユーザーだからといって、それだけで安全というわけでもない。スマートフォン、特にAndroidの場合は、PCのようにOSの脆弱性が見つかった際にすばやくセキュリティパッチが提供される状況ができていない。脆弱性への対処は各端末メーカーの対応を待つ必要があり、パッチを当てられるようになるまでに数ヶ月を要することもある。ユーザーが自発的に対応しようと思っても、それが叶わない状況に陥っていると言える。

また、最近では、スマートフォン向けのウィルス対策ソフトも提供されているが、これらを導入していれば無条件に安全が確保されると考えるのは危険だ。マルウェアの中には、ウィルス対策ソフトだけでは有効な対策がとれないものが、すでに見つかっているのである。

「凶悪なマルウェアになると、Androidのroot権限を奪って、ユーザー権限で動作しているウィルス対策ソフトの手が及ばないシステム領域で悪さを働きます。root権限があるため、携帯電話の番号はもとより、通話履歴、メール、アドレス帳など、端末に記録されているすべての情報にアクセスできるようになるのです。」(山城氏)

恐ろしいのは、こうした攻撃をユーザーに一切知られることなく行うことができるマルウェアも存在することだ。

最近、ユーザーの位置情報などをこっそり送信するスパイウェアなどが話題になっているが、通常、こうしたアプリをインストールする際には、端末のどの機能にアクセスするかというパーミッションが表示され、ユーザーが不審に思えばインストールしないという決断を下すこともできる。また、Androidには、開発者がパーミッション表示を一切行わないようにアプリを開発しても、それを実行する段階でOS側がアプリを強制終了する仕組みも備える。しかし、OSの脆弱性をついてroot権限を奪うツールはユーザーに対して行われるパーミッション表示を不必要にすることが可能であり、これを内包している凶悪なマルウェアは、パーミッション表示画面にてユーザーが判断出来ないようにしてしまうのだ。

こうしたOSの脆弱性を突くマルウェアとしては、「ドロイド・ドリーム(DroidDream)」、「ジンジャーマスター(Gingermaster)」といったものが有名だ。ユーザーが気づかぬうちに感染しているものもあるため、実際には多くの被害があると推測されており、「明らかになっているマルウェアは氷山の一角」(山城氏)だという。

では、こうしたスマートフォンをとりまく脅威に対して、一般ユーザーや企業ユーザーは、どう取り組んでいけばいいのか。本誌では、来る11月22日に、「2011 Webセキュリティセミナー」を開催する。山城氏は、そこで「スマートフォンのセキュリティ」をテーマにした講演を行う予定だ。

講演は、スマートフォンをめぐる現状についてラックの詳しい調査データから解説し、さらに、攻撃者がどのようにしてAndroid端末から情報を盗みとるかについて、実機を使ったデモも用意するといった興味深い内容となっている。ユーザーが急速に広がり、根本的な解決策が見つからないなかで、どのようにしてセキュリティを確保していくべきなのか、大いに参考になるはずだ。

大好評につき「動画セミナー」開催中

スマートフォン、ウェブアプリケーション、サーバファーム…WEB新時代に絶対必要なセキュリティ・ナレッジを提供するWEBセキュリティセミナーが、<無料>動画にてご覧いただけます!
関連キーワード


転職ノウハウ

あなたが本領発揮できる仕事を診断
あなたの仕事適性診断

シゴト性格・弱点が20の質問でサクッと分かる!

「仕事辞めたい……」その理由は?
「仕事辞めたい……」その理由は?

71%の人が仕事を辞めたいと思った経験あり。その理由と対処法は?

3年後の年収どうなる? 年収予報
3年後の年収どうなる? 年収予報

今の年収は適正? 3年後は? あなたの年収をデータに基づき予報します。

激務な職場を辞めたいが、美女が邪魔して辞められない
激務な職場を辞めたいが、美女が邪魔して辞められない

美人上司と可愛い過ぎる後輩に挟まれるエンジニアの悩み

人気記事

一覧

イチオシ記事

新着記事

『おそ松さん』よりひょこっとラバーストラップの第2弾が登場
[20:00 7/23] ホビー
みなさんメガネ男子は好きですか?『おそ松さん』が一番くじでメガネ姿を披露
[20:00 7/23] ホビー
「夏目友人帳 伍」は10月から!夏目とニャンコ先生の新カットも公開
[19:38 7/23] ホビー
東国原英夫vs上西小百合が因縁の生対決 - 27時間テレビ『バイキングSP』
[19:33 7/23] エンタメ
[長谷川博己]始球式“失敗”のゴジラをフォロー ナイスゴールで会場沸かす
[19:30 7/23] エンタメ

求人情報