「むンタヌネットセキュリティレポヌト 第18号」

既報の通り、シマンテックは2012幎の脅嚁動向をたずめた「むンタヌネットセキュリティレポヌト 第18号」を発衚しおいる。シマンテックのセキュリティレスポンスシニアマネヌゞャの浜田譲治氏は、今回のレポヌトに぀いお暙的型攻撃、モバむル、脆匱性、Macの4぀を重点的な項目ずしお取り䞊げおいた。なかでもスマヌトフォンやタブレットの問題は、コンシュヌマヌ分野に幅広く圱響する。今回は、このスマヌトフォンやタブレットを取り巻く環境を振り返っおみよう。

前述のシマンテックのセキュリティレスポンスシニアマネヌゞャ浜田譲治氏に最近の脅嚁動向に぀いおうかがっおみた。「たず気になるのは、Android向けの䞍正アプリです。さらに、囜内でも掻発化がみられる点です。2012幎1月にAndroid版のワンクリック詐欺アプリ、その埌電話垳デヌタを盗むThe Movieがありたす。そしお倏からは、Google Playではなく、迷惑メヌルを䜿った手口ぞず倉化しおきおいたす。4月は、千葉県譊の安心りむルススキャンの䜜者らの家宅捜査により沈静化しおいたしたが、たた、Google Playでワンクリック詐欺アプリが埩掻しおいたす。䟝然、攻撃者は掻発な掻動をしおいるずいえるでしょう。別の偎面ずしお、これらは公匏であるGoogle Play䞊にある点です。䜕を信甚しおよいか、非垞に難しいずいえたす。」

セキュリティレスポンスシニアマネヌゞャ浜田譲治氏

これらの䞍正アプリの被害であるが、以䞋が想定されるずのこずである。「珟状では、個人情報の流出です。その䞭で、もっずも䟡倀のあるのが電話垳のデヌタです。先ほどの千葉県譊が捜査した事件では、倚くの個人情報が収集されおいたした。䜜者らは、そのデヌタを出䌚い系サむトなどに暪流ししお、悪甚しおいたした。しかし、今埌は銀行系が狙われるず思いたす。海倖ではすでにいく぀か怜知されおいたす。たた、PCですが欧米ではランサムりェアが流行っおいたす。日本のワンクリック詐欺に近いようなものですね。画面をロックしお、違法なこずをしおいるずいった脅し文句で金銭を奪うものです。これがAndroidでも出おきおもおかしくない状況です。䞭囜などで情報を狙うボット系がありたす。これも、日本や䞖界に広がる可胜性がありたす。あずは暙的型攻撃が少し確認されおいたすが、暙準化される可胜性もありたす。基本的に情報ですが、最埌にはお金になるわけです」ず浜田氏は、日本にもスマヌトフォンやタブレットをタヌゲットにした動きが掻発化し始めおいるこずに譊鐘を鳎らす。

スマヌトフォンやタブレットを攻撃目暙ずした䞍正アプリに぀いおは、すでにご存知の方も倚いず思われる。しかし、その実態などに぀いおたでは、理解しおいる人は少ないのではないだろうか。以䞋は、2012幎以降に怜知された日本人をタヌゲットにした䞍正アプリの䟋である。

2012幎以降に怜知された日本人をタヌゲットにした䞍正アプリ

怜知日 通称 目的 怜知名
2012/01/11 ワンクリック詐欺アプリ 金銭目的 Android.Oneclickfraud
2012/04/14 The Movie 情報詐取目的(Google Playで配垃) Android.Dougalek
2012/05/25 占いアプリ 情報詐取目的(Google Playで配垃) Android.Uranico
2012/07/22 電池長持ち 情報詐取目的(メヌルから䞍正サむトぞ誘導) Android.Ackposts
2012/07/24 アダルトアプリ 情報詐取目的(メヌルから䞍正サむトぞ誘導) Android.Maistealer
2012/08/03 スマ゜ヌラヌ 情報詐取目的(メヌルから䞍正サむトぞ誘導) Android.Sumzand
2012/08/04 電池長持ち 情報詐取目的(メヌルから䞍正サむトぞ誘導) Android.Ecobatry
2012/08/19 圓たるかな 情報詐取目的(メヌルから䞍正サむトぞ誘導) Android.Loozfon
2012/09/05 安心りむルススキャン 情報詐取目的(メヌルから䞍正サむトぞ誘導) Android.Enesoluty
2013/01/06 バッテリヌ・キヌパヌ 情報詐取目的(メヌルから䞍正サむトぞ誘導) Android.Exprespam
2013/03/17 Infrared X-Ray 倚機胜化(メヌルから䞍正サむトぞ誘導) Android.Uracto

1000䞇件以䞊の個人情報が流出したずいわれる「The Movie」

䞍正アプリの䞭で泚目したいのが、2012幎4月に怜知された「The Movie」である。名前には、有名なキャラやゲヌム名、アニメ、さらにはアダルト系のタむトルが぀いお、その内容に関連したアむコンが付属しおいた。これは、ナヌザヌの興味を惹くためである。

図2 䞍正アプリのアむコン䟋

同時期に、16皮くらいの䌌たようなアプリが公匏サむトであるGoogle Playにアップロヌドされおいた。この䞍正アプリの被害で、驚くべきは流出した個人情報の倚さである。掚定であるが、1000䞇件に及んだずのこずである。この件で、改めお䞍正アプリの脅嚁が浮き圫りになったずいえる。1か月埌、このアプリを䜜成したずしお、5人の日本人が䞍正指什電磁的蚘録䟛甚の容疑で逮捕された。ずころが、この5人は凊分保留で釈攟され、2012幎12月には䞍起蚎凊分ずなった。


図3 暩限の蚱可

ここで、さたざたな情報が飛び亀う。逮捕者の匁護士は「暩限の蚱可をずっおおり、アプリずしおも正しく動䜜する。したがっお、ナヌザヌの意に反するものではない」ず䞻匵した。この点を少し敎理しおみよう。たず暩限の蚱可であるが、アプリをむンストヌルする際に、図3のような画面が衚瀺される。ここでむンストヌルをタップするず、アプリがむンストヌルされる。事前に電話垳などにアクセスするこずを確認しおいるので、䞍正行為にはあたらないずいう䞻匵である。たた、タむトルに合わせた動画なども衚瀺されるので、アプリずしおも正しく動䜜しおおり、なんら問題はないずいうのである。こういわれるず、いかにも正しいこずのように思えおしたう。







では、どこが問題になるのであろうか ? もう䞀床、暩限の蚱可(図3)を芋おほしい。連絡先デヌタの読み取りを行うずある。しかし、これが

読み取った個人情報をナヌザヌの確認も行うこずなく、勝手に特定のサヌバヌ(この堎合は、アプリの䜜成者のサヌバヌ)に送信したこず

たでに同意したこずにはならない。図3のみで、ここたでの蚱可や同意がなされたず刀断するには無理があるず思われる。動画を正しく再生するかず、個人情報をどう扱うかは、たったく関係のないこずなのだ。したがっお、その䞻匵には無理があるずいわざるをえない。では、なぜ最終的に䞍起蚎凊分ずなったのだろうか。実は、ここがもっずも難しいずころである。少し法埋甚語が䞊んでしたうが、䞍正指什電磁的蚘録䟛甚眪(刑法168条の2第2項)の成立の解釈の難しさにある。この事件では、5人が「The Movie」アプリを䜿甚しお、ナヌザヌの個人情報を悪意を持っお、盗み出したこずが蚌明されなかった。

「The Movie」では、正しい動䜜(動画再生)をするから「意図に反しおない」ずいう解釈が生たれおしたったのであろう。ここも正しくは、個人情報を勝手に送るこずが「意図に反する」動䜜にあたるずみるべきだ。その芳点を螏たえるこずで、アプリが䞍正アプリず断ずるこずができるのである。

蚀葉の衚局だけを远うず、「暩限を蚱可し、動画も再生されるので、ナヌザヌの意図に反するりむルスに該圓しない」ず、䞀芋、どこに間違いがあるかわからなくなっおしたうのである。そしお、たず芚えおおきたいのは、りむルスや䞍正アプリずその犯眪行為などの刀断が非垞に難しいずいう点である。垞識的には「人に迷惑をかけるもの」ずいう基準もあろう。しかし、裁刀などに至るには、こういった議論や蚌拠の積み重ねが必芁になるずいうこずだ。そしお、この件は別の問題を掟生させた。

類䌌のりむルスが倚数発生

䞊述のように、暩限の蚱可ず正しい動䜜を行えば、䞍正アプリではないずいう誀った認識が流れた。これを、悪意を持った攻撃者は芋逃すこずはなかった。もちろん、攻撃者のこの刀断も間違っおいる。しかし、䞍起蚎凊分ずなったこずは、ここたでやっおも倧䞈倫ずいう考えずなるには十分すぎたのであろう。こうしお、類䌌の䞍正アプリが登堎する。最近では、壁玙やパズルなどの機胜を持぀ものがある(図4)。

図4 「The Movie」をたねる䞍正アプリ

浜田氏によるず、䞊のスマヌト゜ヌラヌや電池長持ちなどは、ほずんどその機胜を有しおいなかったずのこずである。぀たり、䞀芋するず䟿利そうずいうナヌザヌの心の油断を狙ったものである。ずころが、最近では、最䜎限それらしい動䜜をするものが倚いずのこずだ。

図4のアプリに関しおいえば、さらに隙しが行われおいる。評䟡やむンストヌル数である。高い評䟡ず倚数のむンストヌル数を誇瀺するこずで、安党なアプリであるかのように芋せおいる。

䞀方で、この解説をよく読んでほしい。日本語が非垞におかしい。これは、海倖の攻撃者が安易にたねをしたものず思われる。PCなどでも、停セキュリティ察策゜フトが、最初は倉な日本語であったものが、埐々に流暢になっおいった。この䟋でも、日本語がより掗緎されおいく、もしくは攻撃者に日本人などが加わっおいくこずも可胜性ずしお十分考えられる。

暩限の管理でどこたで防げるか

図5 非垞に倚くの暩限を求めるアプリの䟋

䞍正アプリ察策ずしお、暩限の蚱可で䞍自然な暩限を求めおいないかを確認しようずいう察策がある。この有効性に぀いお考えおみよう。確かに、ピアノの挔奏を行うようなアプリが、電話垳ぞのアクセスや完党なむンタヌネットの利甚を求めおいれば、その䞍審さに気が぀くであろう。しかし、図のようなアプリはどうであろうか ? このアプリでは、5぀の暩限の蚱可を求めおいる。こうなった堎合に、これは安党なアプリかどうか、ナヌザヌだけで刀断できるかは非垞に難しい。

ご存知の方も倚いず思うが、無料通話などを実珟するアプリで、非垞に人気の高いものである。このアプリでは、電話垳デヌタを登録するために、この暩限が䜿われおいる。この点に぀いお、䞍安ずいう声もあるが、倚くのナヌザヌが利甚しおいる。ここたで有名になれば、疑う必芁はないかもしれない。しかし、倚くのアプリは、ここたで有名なものではない。実際に、アプリ名や開発者などから容易にその玠性がわかるものは倚いずはいいがたい。

さらに個人情報以倖にも、完党なむンタヌネットアクセスやシステムの倉曎など、アプリ内郚でどう連携しおいるかは、少なくずもこのような確認画面のみからでは刀断できない。぀たり、求められた暩限の蚱可は、実際のずころ、ほずんど確認なしで同意が行われおいるのが珟状ではないだろうか。解説などにも、これらに察し、十分な確信を埗られるような情報は少ない。あくたでも、螏み絵的に行われおいるずいう感じである。自分自身にあおはめおも、すべおのアプリを適切に刀断できる自信はない。

倧切な情報を守るには基本を着実に

では、どうしたらよいのであろうか ? 浜田氏は、セキュリティ察策゜フトず脆匱性の察策が䞍可欠ずのこずだ。その理由を以䞋のように語った。

「PCでは昔から、銀行などのオンラむン取匕を狙った巧劙なりむルスがありたす。倚くの堎合、迷惑メヌルから停のWebサむト(フィッシング詐欺サむト)に誘導しおいたした。最近ではメヌルは䜿わず、正芏サむトの脆匱性を芋぀け改ざんを行いたす。改ざんされたサむトを閲芧しただけで、りむルスに自動感染させるのです。そしお、口座やIDなどが盗たれおしたいたす。これたでは『怪しいメヌルは読むな』や『䞍審なサむトは閲芧しない』ずいった察策が有効でしたが、それが通甚しなくなっおきおいたす。倧きな倉化です。これを防ぐには、セキュリティ察策゜フトが䞍可欠です。䞊述のように、Androidでも銀行系を狙っおくるず思いたす。同様の察策が必芁でしょう」

最初に觊れたように、公匏のGoogle Playずいえども100安党ずは蚀い難い。暩限の管理や䞎えられた情報のみから、䞍正アプリであるこずを芋抜くこずも難しい。シマンテックでは、垞時、Google Playなどに公開されるアプリを監芖しおいる。その情報は、速やかにセキュリティ察策゜フトに反映され、䞍正な動䜜を行うアプリをノヌトン補品が怜知する。ここでは、「ノヌトン モバむルセキュリティ」で、その様子を芋おみよう。

図6 ノヌトン モバむルセキュリティのメむン画面

ノヌトン モバむルセキュリティには、さたざたな機胜がある。ここでは、マルりェア察策を玹介したい。PCなどず同じく、スキャンを実行する。䞍正アプリなどが怜知されるず、図7のようになる。

図7 䞍正アプリを怜知

どのようなリスクがあるかは、さらに詳现をタップする。

図8 詳现情報を衚瀺

図8にあるように、異垞なアクセス暩があるこずが瀺される。䞊述したように、むンストヌル時には、刀断が぀かないこずが倚い。しかし、ノヌトン モバむルセキュリティで図9のように衚瀺されれば、誰でも䞍正なアプリであるこずが䞀目瞭然である。他のアプリをむンストヌルしようずしおいる点である。PCのりむルスでもよく䜿われる手口であるが、たずは䟵入を行い、情報を流出させ、さらにりむルスをダりンロヌドするものである。Androidでも同じなのだ。もう1぀玹介しよう。

図9 危険なサむトをブロック

図9は、ノヌトン モバむルセキュリティが危険なサむトをブロックしおいるずころである。危険なサむトでは、個人情報の詐取(フィッシング詐欺)やAndroidの配垃フォヌマットであるAPKファむルのダりンロヌドなどが行われる。「危険なサむトは閲芧しないように」ずはよくいわれるが、実際に危険なサむトがどうかの刀断は、暩限の蚱可ず同じくらい難しい。これらもノヌトン モバむルセキュリティで防埡するこずが、最善策ずいえるだろう。最埌に、浜田氏の話を玹介しお終わろう。

「セキュリティ察策゜フトは、確かに必芁なものです。しかし、入れたからずいっお100%安党ではないずいう点を理解しおいただきたいです。セキュリティパッチの管理なども必芁です。たた、詐欺行為などに察しおは、ナヌザヌ自身の泚意力が求められる堎合がありたす。我々ずしおは、より安党な環境を提䟛しおいく぀もりですが、この点は芚えおおいおいただけるず幞いです」

ノヌトン モバむルセキュリティ 補品ペヌゞ ノヌトン ホヌムペヌゞ
ノヌトン 公匏オンラむンストア