【レポート】
Android遠隔操作デモも! 山城氏がスマホ脅威を解説 - セキュリティセミナー
もはやiOSも安全ではない
11月22日に開催された「2011 Webセキュリティセミナー」(マイナビ主催)で、ラック スマートフォンセキュリティ研究所の山城重成氏は、「スマートフォンを狙うマルウェアの基礎」と題する講演を行った。山城氏は、スマートフォンがどのように攻撃者からマルウェアによる攻撃を受けるかについての仕組みを解説するともに、実際にマルウェアに感染したスマートフォンを擬似攻撃するデモも示してみせた。
OSごとに異なるセキュリティ事情
|
|
ラック スマートフォンセキュリティ研究所の山城重成氏 |
山城氏はまず、AndroidやiOS、Windos Phoneといったスマートフォンのプラットフォームの種類とそれぞれの特徴と違いについて紹介を行った。
そのうちAndroidは、脆弱性への対応は個々の端末メーカーに依存しており、アプリケーションのインストール方法もAndroid Market、On The Air、そしてキャリアマーケットなど複数存在する。脆弱性への対応がメーカーに依存している理由について山城氏は、「ハードウェアごとのドライバへの対応が必要なのと、メーカーがカーネルにまで手を入れているため」と説明。このため、どうしてもAndroidのバージョンが古いままなかなかアップデートされず、結果的に脆弱性につながるといったリスクを指摘した。
次にiOSの場合は、脆弱性については開発元であるAppleが対応しているのに加えてアプリケーションのインストール方法もAppStoreに限定されている。しかも、AppStoreでアプリケーションを配布するには事前に審査を通過しなければならない。OSの脆弱性への対応も1週間程度で行われる。こうしたことから山城氏は、「iOSは比較的マルウェアへの対策がなされている」と一定の評価はしたものの、「Jail Break Me」によるPDFの脆弱性を突いた管理者権限奪取が今年発覚したように、iOSについてもマルウェアのリスクは増加しており、十分に警戒すべきだとした。
AndroidのマルウェアにはPCよりも危険な一面も
Androidのアプリケーションの最大の配布場所であるAndroid Marketには、基本的にアプリケーションの審査は無く、開発者は自由にアプリケーションを公開できる。このため、ゲームのようなユーザーの興味を引きやすいアプリケーションにマルウェアが混入されている例が見つかっているという。
マルウェアの種類についても、端末情報を奪取するものや金銭目的のもの、Root権を奪取するものなど多種多様だ。なかにはbot系のマルウェアも昨年末に発見されるなど、ほとんどPCと変わらない状況とも言える。そしてAndroidのマルウェアの特徴としては、正規のアプリケーションを改ざんして裏で動作しているため発見が困難であったり、ユーザー権限での駆除が困難であったりと、むしろPCのマルウェアよりも対策が難しい部分もある。
そうしたなか、Android向けのアンチウイルスソフトも提供されているが、既知のマルウェアの検出には優れているものの、Androidではアプリケーションがユーザー権限で動作するため、カーネルフックによってその挙動を追う「振る舞い検知」は難しいといった弱点がある。山城氏は、「アンチウイルスソフトは、こうした特性を知ったうえで使うべき」と強調する。
|
利用者自らセキュリティ意識を持って対策を
山城氏は、自らスマートフォンを取り出すと、実際にマルウェアの挙動のデモを行って見せた。状況としては、ユーザーがURLを含むメールを受信し、攻撃者が用意したWebサーバにアクセス、botアプリがインストールされてしまったというものだ。
会場の参加者にスマートフォンを手渡した山城氏は、PCの画面からそのスマートフォンを遠隔操作して自身の携帯電話に電話をかけたり、スマートフォンのカメラで撮影したりしてみせた。これはつまり、攻撃者が盗聴や盗撮を行えるということだ。いとも簡単に遠隔操作ができてしまう事実に、会場からは驚愕の声が漏れた。
|
|
|
スマートフォンの遠隔操作のデモ。アドレス帳や履歴を閲覧可能なほか、電話をかけたり、写真をとったりすることもできる。 |
|
では、スマートフォンのマルウェア対策として何を行えばいいのだろうか。キャリア側も既に、紛失や盗難した端末を遠隔ロックするリモートロックサービスやセキュリティチェックを施したキャリアマーケットの提供、メールのウイルススキャンサービス、そしてウイルス対策ソフトを用意するなどの対策を行っている。「今のスマートフォンのセキュリティには課題が多く、Androidに至っては利用者自身によるセキュリティ対策が必須」とする山城氏は、これらキャリアが提供するサービスを活用しながら、アプリケーションやOSのバージョンアップを欠かさずに行ったり、インストール時に表示されるアクセス許可の一覧の内容を必ず確認したりするなどの対策をしっかりと行うべきだと訴えた。
大好評につき「動画セミナー」開催中
スマートフォン、ウェブアプリケーション、サーバファーム…WEB新時代に絶対必要なセキュリティ・ナレッジを提供するWEBセキュリティセミナーが、<無料>動画にてご覧いただけます!
関連記事
| スマートフォン向けマルウェアは激増中 - LAC 山城氏 [2011/11/4] |
| 既存のセキュリティ対策製品をすり抜けるAPT攻撃の脅威 - FFR村上氏 [2011/11/11] |
| 旧来の攻撃被害がなくならないわけ - ジェイピー・セキュア 齊藤氏 [2011/11/9] |
| スマートフォン時代の脅威分析も! 11月22日、Webセキュリティセミナー開催 [2011/11/2] |
新着記事
| 理研、脳・脊髄形成に必要な神経板湾曲の仕組みを解明 [20:16 5/25] |
| 京大、「慢性閉塞性肺疾患」患者の労作時呼吸困難は鍼治療が有効と実証 [20:08 5/25] |
| 120Hz SHVカメラ用イメージセンサーを使った撮像装置 - SHVフルスペック化へ [18:10 5/25] |
| 京大、視覚による物体認知は前頭前野からのトップダウン信号が重要と確認 [17:45 5/25] |
| 製品数の拡大だけでなくBCPの展開なども含めた総合力で事業の強化を図るTI [17:25 5/25] |
特設サイトの情報
求人情報
人気記事
一覧イチオシ記事
新着記事
|
[AKB48]じゃんけん2位の藤江れいな、総選挙目標は「17位」 近野莉菜は姉妹グループに対抗心 [15:38 5/27] ホビー |
|
[注目の新譜]きゃりーぱみゅぱみゅ カワイイがいっぱい! 待望の初アルバムを発表 [15:30 5/27] ホビー |
|
奥瀬サキ「火閻魔人」25年ぶり再始動、新キャラも続々 [15:17 5/27] ホビー |
|
[庵野秀明監督]「ヱヴァ」進行状況を聞かれ立腹 「日プロ大賞」授賞式 [15:01 5/27] ホビー |
|
【女性編】おなかが減ったけどおかずがない! そんなときおかずになる調味料ランキング [15:00 5/27] ライフ |
特別企画
転職ノウハウ
4つの診断で、自分の適性を見つめなおそう!
働くこと・挑戦し続けることへの思いを綴ったインタビュー
あなたにピッタリのアドバイスを読むことができます。
転職に必要な情報が収集できます
企業からアプローチのメッセージが届きます。
サービス一覧
