既報の通り、シマンテックは2012年の脅威動向をまとめた「インターネットセキュリティレポート 第18号」を発表している。シマンテックのセキュリティレスポンスシニアマネージャの浜田譲治氏は、今回のレポートについて標的型攻撃、モバイル、脆弱性、Macの4つを重点的な項目として取り上げていた。なかでもスマートフォンやタブレットの問題は、コンシューマー分野に幅広く影響する。今回は、このスマートフォンやタブレットを取り巻く環境を振り返ってみよう。
前述のシマンテックのセキュリティレスポンスシニアマネージャ浜田譲治氏に最近の脅威動向についてうかがってみた。「まず気になるのは、Android向けの不正アプリです。さらに、国内でも活発化がみられる点です。2012年1月にAndroid版のワンクリック詐欺アプリ、その後電話帳データを盗むThe Movieがあります。そして夏からは、Google Playではなく、迷惑メールを使った手口へと変化してきています。4月は、千葉県警の安心ウイルススキャンの作者らの家宅捜査により沈静化していましたが、また、Google Playでワンクリック詐欺アプリが復活しています。依然、攻撃者は活発な活動をしているといえるでしょう。別の側面として、これらは公式であるGoogle Play上にある点です。何を信用してよいか、非常に難しいといえます。」
これらの不正アプリの被害であるが、以下が想定されるとのことである。「現状では、個人情報の流出です。その中で、もっとも価値のあるのが電話帳のデータです。先ほどの千葉県警が捜査した事件では、多くの個人情報が収集されていました。作者らは、そのデータを出会い系サイトなどに横流しして、悪用していました。しかし、今後は銀行系が狙われると思います。海外ではすでにいくつか検知されています。また、PCですが欧米ではランサムウェアが流行っています。日本のワンクリック詐欺に近いようなものですね。画面をロックして、違法なことをしているといった脅し文句で金銭を奪うものです。これがAndroidでも出てきてもおかしくない状況です。中国などで情報を狙うボット系があります。これも、日本や世界に広がる可能性があります。あとは標的型攻撃が少し確認されていますが、標準化される可能性もあります。基本的に情報ですが、最後にはお金になるわけです」と浜田氏は、日本にもスマートフォンやタブレットをターゲットにした動きが活発化し始めていることに警鐘を鳴らす。
スマートフォンやタブレットを攻撃目標とした不正アプリについては、すでにご存知の方も多いと思われる。しかし、その実態などについてまでは、理解している人は少ないのではないだろうか。以下は、2012年以降に検知された日本人をターゲットにした不正アプリの例である。
2012年以降に検知された日本人をターゲットにした不正アプリ
検知日 | 通称 | 目的 | 検知名 |
---|---|---|---|
2012/01/11 | ワンクリック詐欺アプリ | 金銭目的 | Android.Oneclickfraud |
2012/04/14 | The Movie | 情報詐取目的(Google Playで配布) | Android.Dougalek |
2012/05/25 | 占いアプリ | 情報詐取目的(Google Playで配布) | Android.Uranico |
2012/07/22 | 電池長持ち | 情報詐取目的(メールから不正サイトへ誘導) | Android.Ackposts |
2012/07/24 | アダルトアプリ | 情報詐取目的(メールから不正サイトへ誘導) | Android.Maistealer |
2012/08/03 | スマソーラー | 情報詐取目的(メールから不正サイトへ誘導) | Android.Sumzand |
2012/08/04 | 電池長持ち | 情報詐取目的(メールから不正サイトへ誘導) | Android.Ecobatry |
2012/08/19 | 当たるかな? | 情報詐取目的(メールから不正サイトへ誘導) | Android.Loozfon |
2012/09/05 | 安心ウイルススキャン | 情報詐取目的(メールから不正サイトへ誘導) | Android.Enesoluty |
2013/01/06 | バッテリー・キーパー | 情報詐取目的(メールから不正サイトへ誘導) | Android.Exprespam |
2013/03/17 | Infrared X-Ray | 多機能化(メールから不正サイトへ誘導) | Android.Uracto |
1000万件以上の個人情報が流出したといわれる「The Movie」
不正アプリの中で注目したいのが、2012年4月に検知された「The Movie」である。名前には、有名なキャラやゲーム名、アニメ、さらにはアダルト系のタイトルがついて、その内容に関連したアイコンが付属していた。これは、ユーザーの興味を惹くためである。
同時期に、16種くらいの似たようなアプリが公式サイトであるGoogle Playにアップロードされていた。この不正アプリの被害で、驚くべきは流出した個人情報の多さである。推定であるが、1000万件に及んだとのことである。この件で、改めて不正アプリの脅威が浮き彫りになったといえる。1か月後、このアプリを作成したとして、5人の日本人が不正指令電磁的記録供用の容疑で逮捕された。ところが、この5人は処分保留で釈放され、2012年12月には不起訴処分となった。
ここで、さまざまな情報が飛び交う。逮捕者の弁護士は「権限の許可をとっており、アプリとしても正しく動作する。したがって、ユーザーの意に反するものではない」と主張した。この点を少し整理してみよう。まず権限の許可であるが、アプリをインストールする際に、図3のような画面が表示される。ここで[インストール]をタップすると、アプリがインストールされる。事前に電話帳などにアクセスすることを確認しているので、不正行為にはあたらないという主張である。また、タイトルに合わせた動画なども表示されるので、アプリとしても正しく動作しており、なんら問題はないというのである。こういわれると、いかにも正しいことのように思えてしまう。
では、どこが問題になるのであろうか ? もう一度、権限の許可(図3)を見てほしい。連絡先データの読み取りを行うとある。しかし、これが
読み取った個人情報をユーザーの確認も行うことなく、勝手に特定のサーバー(この場合は、アプリの作成者のサーバー)に送信したこと
までに同意したことにはならない。図3のみで、ここまでの許可や同意がなされたと判断するには無理があると思われる。動画を正しく再生するかと、個人情報をどう扱うかは、まったく関係のないことなのだ。したがって、その主張には無理があるといわざるをえない。では、なぜ最終的に不起訴処分となったのだろうか。実は、ここがもっとも難しいところである。少し法律用語が並んでしまうが、不正指令電磁的記録供用罪(刑法168条の2第2項)の成立の解釈の難しさにある。この事件では、5人が「The Movie」アプリを使用して、ユーザーの個人情報を悪意を持って、盗み出したことが証明されなかった。
「The Movie」では、正しい動作(動画再生)をするから「意図に反してない」という解釈が生まれてしまったのであろう。ここも正しくは、個人情報を勝手に送ることが「意図に反する」動作にあたるとみるべきだ。その観点を踏まえることで、アプリが不正アプリと断ずることができるのである。
言葉の表層だけを追うと、「権限を許可し、動画も再生されるので、ユーザーの意図に反するウイルスに該当しない」と、一見、どこに間違いがあるかわからなくなってしまうのである。そして、まず覚えておきたいのは、ウイルスや不正アプリとその犯罪行為などの判断が非常に難しいという点である。常識的には「人に迷惑をかけるもの」という基準もあろう。しかし、裁判などに至るには、こういった議論や証拠の積み重ねが必要になるということだ。そして、この件は別の問題を派生させた。
類似のウイルスが多数発生
上述のように、権限の許可と正しい動作を行えば、不正アプリではないという誤った認識が流れた。これを、悪意を持った攻撃者は見逃すことはなかった。もちろん、攻撃者のこの判断も間違っている。しかし、不起訴処分となったことは、ここまでやっても大丈夫という考えとなるには十分すぎたのであろう。こうして、類似の不正アプリが登場する。最近では、壁紙やパズルなどの機能を持つものがある(図4)。
浜田氏によると、上のスマートソーラーや電池長持ちなどは、ほとんどその機能を有していなかったとのことである。つまり、一見すると便利そうというユーザーの心の油断を狙ったものである。ところが、最近では、最低限それらしい動作をするものが多いとのことだ。
図4のアプリに関していえば、さらに騙しが行われている。評価やインストール数である。高い評価と多数のインストール数を誇示することで、安全なアプリであるかのように見せている。
一方で、この解説をよく読んでほしい。日本語が非常におかしい。これは、海外の攻撃者が安易にまねをしたものと思われる。PCなどでも、偽セキュリティ対策ソフトが、最初は変な日本語であったものが、徐々に流暢になっていった。この例でも、日本語がより洗練されていく、もしくは攻撃者に日本人などが加わっていくことも可能性として十分考えられる。
権限の管理でどこまで防げるか?
不正アプリ対策として、権限の許可で不自然な権限を求めていないかを確認しようという対策がある。この有効性について考えてみよう。確かに、ピアノの演奏を行うようなアプリが、電話帳へのアクセスや完全なインターネットの利用を求めていれば、その不審さに気がつくであろう。しかし、図のようなアプリはどうであろうか ? このアプリでは、5つの権限の許可を求めている。こうなった場合に、これは安全なアプリかどうか、ユーザーだけで判断できるかは非常に難しい。
ご存知の方も多いと思うが、無料通話などを実現するアプリで、非常に人気の高いものである。このアプリでは、電話帳データを登録するために、この権限が使われている。この点について、不安という声もあるが、多くのユーザーが利用している。ここまで有名になれば、疑う必要はないかもしれない。しかし、多くのアプリは、ここまで有名なものではない。実際に、アプリ名や開発者などから容易にその素性がわかるものは多いとはいいがたい。
さらに個人情報以外にも、完全なインターネットアクセスやシステムの変更など、アプリ内部でどう連携しているかは、少なくともこのような確認画面のみからでは判断できない。つまり、求められた権限の許可は、実際のところ、ほとんど確認なしで同意が行われているのが現状ではないだろうか。解説などにも、これらに対し、十分な確信を得られるような情報は少ない。あくまでも、踏み絵的に行われているという感じである。自分自身にあてはめても、すべてのアプリを適切に判断できる自信はない。
大切な情報を守るには基本を着実に
では、どうしたらよいのであろうか ? 浜田氏は、セキュリティ対策ソフトと脆弱性の対策が不可欠とのことだ。その理由を以下のように語った。
「PCでは昔から、銀行などのオンライン取引を狙った巧妙なウイルスがあります。多くの場合、迷惑メールから偽のWebサイト(フィッシング詐欺サイト)に誘導していました。最近ではメールは使わず、正規サイトの脆弱性を見つけ改ざんを行います。改ざんされたサイトを閲覧しただけで、ウイルスに自動感染させるのです。そして、口座やIDなどが盗まれてしまいます。これまでは『怪しいメールは読むな』や『不審なサイトは閲覧しない』といった対策が有効でしたが、それが通用しなくなってきています。大きな変化です。これを防ぐには、セキュリティ対策ソフトが不可欠です。上述のように、Androidでも銀行系を狙ってくると思います。同様の対策が必要でしょう」
最初に触れたように、公式のGoogle Playといえども100%安全とは言い難い。権限の管理や与えられた情報のみから、不正アプリであることを見抜くことも難しい。シマンテックでは、常時、Google Playなどに公開されるアプリを監視している。その情報は、速やかにセキュリティ対策ソフトに反映され、不正な動作を行うアプリをノートン製品が検知する。ここでは、「ノートン モバイルセキュリティ」で、その様子を見てみよう。
ノートン モバイルセキュリティには、さまざまな機能がある。ここでは、マルウェア対策を紹介したい。PCなどと同じく、スキャンを実行する。不正アプリなどが検知されると、図7のようになる。
どのようなリスクがあるかは、さらに[詳細]をタップする。
図8にあるように、異常なアクセス権があることが示される。上述したように、インストール時には、判断がつかないことが多い。しかし、ノートン モバイルセキュリティで図9のように表示されれば、誰でも不正なアプリであることが一目瞭然である。他のアプリをインストールしようとしている点である。PCのウイルスでもよく使われる手口であるが、まずは侵入を行い、情報を流出させ、さらにウイルスをダウンロードするものである。Androidでも同じなのだ。もう1つ紹介しよう。
図9は、ノートン モバイルセキュリティが危険なサイトをブロックしているところである。危険なサイトでは、個人情報の詐取(フィッシング詐欺)やAndroidの配布フォーマットであるAPKファイルのダウンロードなどが行われる。「危険なサイトは閲覧しないように」とはよくいわれるが、実際に危険なサイトがどうかの判断は、権限の許可と同じくらい難しい。これらもノートン モバイルセキュリティで防御することが、最善策といえるだろう。最後に、浜田氏の話を紹介して終わろう。
「セキュリティ対策ソフトは、確かに必要なものです。しかし、入れたからといって100%安全ではないという点を理解していただきたいです。セキュリティパッチの管理なども必要です。また、詐欺行為などに対しては、ユーザー自身の注意力が求められる場合があります。我々としては、より安全な環境を提供していくつもりですが、この点は覚えておいていただけると幸いです」
ノートン モバイルセキュリティ 製品ページ ノートン ホームページ
ノートン 公式オンラインストア