もはやiOSも安全ではない

11月22日に開催された「2011 Webセキュリティセミナー」(マイナビ主催)で、ラック スマートフォンセキュリティ研究所の山城重成氏は、「スマートフォンを狙うマルウェアの基礎」と題する講演を行った。山城氏は、スマートフォンがどのように攻撃者からマルウェアによる攻撃を受けるかについての仕組みを解説するともに、実際にマルウェアに感染したスマートフォンを擬似攻撃するデモも示してみせた。

OSごとに異なるセキュリティ事情

ラック スマートフォンセキュリティ研究所の山城重成氏

山城氏はまず、AndroidやiOS、Windos Phoneといったスマートフォンのプラットフォームの種類とそれぞれの特徴と違いについて紹介を行った。

そのうちAndroidは、脆弱性への対応は個々の端末メーカーに依存しており、アプリケーションのインストール方法もAndroid Market、On The Air、そしてキャリアマーケットなど複数存在する。脆弱性への対応がメーカーに依存している理由について山城氏は、「ハードウェアごとのドライバへの対応が必要なのと、メーカーがカーネルにまで手を入れているため」と説明。このため、どうしてもAndroidのバージョンが古いままなかなかアップデートされず、結果的に脆弱性につながるといったリスクを指摘した。

次にiOSの場合は、脆弱性については開発元であるAppleが対応しているのに加えてアプリケーションのインストール方法もAppStoreに限定されている。しかも、AppStoreでアプリケーションを配布するには事前に審査を通過しなければならない。OSの脆弱性への対応も1週間程度で行われる。こうしたことから山城氏は、「iOSは比較的マルウェアへの対策がなされている」と一定の評価はしたものの、「Jail Break Me」によるPDFの脆弱性を突いた管理者権限奪取が今年発覚したように、iOSについてもマルウェアのリスクは増加しており、十分に警戒すべきだとした。

AndroidのマルウェアにはPCよりも危険な一面も

Androidのアプリケーションの最大の配布場所であるAndroid Marketには、基本的にアプリケーションの審査は無く、開発者は自由にアプリケーションを公開できる。このため、ゲームのようなユーザーの興味を引きやすいアプリケーションにマルウェアが混入されている例が見つかっているという。

マルウェアの種類についても、端末情報を奪取するものや金銭目的のもの、Root権を奪取するものなど多種多様だ。なかにはbot系のマルウェアも昨年末に発見されるなど、ほとんどPCと変わらない状況とも言える。そしてAndroidのマルウェアの特徴としては、正規のアプリケーションを改ざんして裏で動作しているため発見が困難であったり、ユーザー権限での駆除が困難であったりと、むしろPCのマルウェアよりも対策が難しい部分もある。

そうしたなか、Android向けのアンチウイルスソフトも提供されているが、既知のマルウェアの検出には優れているものの、Androidではアプリケーションがユーザー権限で動作するため、カーネルフックによってその挙動を追う「振る舞い検知」は難しいといった弱点がある。山城氏は、「アンチウイルスソフトは、こうした特性を知ったうえで使うべき」と強調する。

利用者自らセキュリティ意識を持って対策を

山城氏は、自らスマートフォンを取り出すと、実際にマルウェアの挙動のデモを行って見せた。状況としては、ユーザーがURLを含むメールを受信し、攻撃者が用意したWebサーバにアクセス、botアプリがインストールされてしまったというものだ。

会場の参加者にスマートフォンを手渡した山城氏は、PCの画面からそのスマートフォンを遠隔操作して自身の携帯電話に電話をかけたり、スマートフォンのカメラで撮影したりしてみせた。これはつまり、攻撃者が盗聴や盗撮を行えるということだ。いとも簡単に遠隔操作ができてしまう事実に、会場からは驚愕の声が漏れた。

スマートフォンの遠隔操作のデモ。アドレス帳や履歴を閲覧可能なほか、電話をかけたり、写真をとったりすることもできる。

では、スマートフォンのマルウェア対策として何を行えばいいのだろうか。キャリア側も既に、紛失や盗難した端末を遠隔ロックするリモートロックサービスやセキュリティチェックを施したキャリアマーケットの提供、メールのウイルススキャンサービス、そしてウイルス対策ソフトを用意するなどの対策を行っている。「今のスマートフォンのセキュリティには課題が多く、Androidに至っては利用者自身によるセキュリティ対策が必須」とする山城氏は、これらキャリアが提供するサービスを活用しながら、アプリケーションやOSのバージョンアップを欠かさずに行ったり、インストール時に表示されるアクセス許可の一覧の内容を必ず確認したりするなどの対策をしっかりと行うべきだと訴えた。