スマートフォンのマルウェアが急増しているワケ
消費者や企業の間で急速に利用者が増えているスマートフォン。だが、そのセキュリティの実態については、ITに詳しい人の間でも意外に知られていないことが多い。
例えば、スマートフォンのマルウェアの数である。セキュリティ関連サービスを展開するラックのサイバーセキュリティ研究所で研究員を務める山城重成氏は、こう話す。
ラック サイバーセキュリティ研究所 研究員の山城重成氏。11月22日(火)に開催する本誌主催のセミナー「2011 Webセキュリティセミナー」でスマートフォン向けマルウェアの最新動向についてデモを交えながら解説する。 |
「スマートフォンのマルウェアは今年に入ってから急増している状況です。全世界のiPhone、Android、BlackBerryなどを対象にしたマルウェアの数は、2009年では3件、2010年では5件でしたが、今年は10月中旬まで40件を超えました。これらは亜種を除いた数ですので、実際には、数千種類が存在していてもおかしくはありません。」
山城氏は、スマートフォンのセキュリティを中心に、未知の脅威やマルウェアの攻撃手法などを研究するスペシャリストだ。同氏によると、マルウェアが急増したのは、単にユーザー数が増加したからだけではない。特にAndroidに関して言えることだが、OSをオープンソースとして公開し、アプリをオープンなマーケットで誰でも自由に公開できるようにしている点が、攻撃者にとって、狙いやすい環境を作ることにつながっているという。
「スマートフォンのマルウェアの攻撃のほとんどは、アプリをダウンロードすることをトリガーにして引き起こされます。その背景には、OSが公開されているため脆弱性がより見つけやすくなっていること、そして、不正なアプリが公開されてもそれを審査することが難しいといった問題があります。攻撃者は、OSの脆弱性をついて攻撃を仕掛けるアプリをマーケットに公開し、それをダウンロードさせようとします。」(同氏)
ウィルス対策ソフトで完全な駆除が出来ないケースも
スマートフォンがPCや携帯電話といったこれまでのカテゴリーに属さない新しいデバイスであることも、問題を複雑化する要因になっている。
まず、個人の意識のあり方として、携帯電話の延長にあるデバイスとみるか、PCの延長にあるデバイスとみるかで、セキュリティ対策への取り組み方が変わってくる。例えば、携帯電話の延長と考えてないユーザーなら、アプリをダウンロードすることにそれほどのリスクを感じないだろう。そのようなユーザーは、多少おかしな要素のあるアプリケーションでも気付くことなくインストールしてしまう可能性が高い。
もちろん、PCの延長と考え、アプリをダウンロードすることにリスクを感じるようなセキュリティ意識の高いユーザーだからといって、それだけで安全というわけでもない。スマートフォン、特にAndroidの場合は、PCのようにOSの脆弱性が見つかった際にすばやくセキュリティパッチが提供される状況ができていない。脆弱性への対処は各端末メーカーの対応を待つ必要があり、パッチを当てられるようになるまでに数ヶ月を要することもある。ユーザーが自発的に対応しようと思っても、それが叶わない状況に陥っていると言える。
また、最近では、スマートフォン向けのウィルス対策ソフトも提供されているが、これらを導入していれば無条件に安全が確保されると考えるのは危険だ。マルウェアの中には、ウィルス対策ソフトだけでは有効な対策がとれないものが、すでに見つかっているのである。
「凶悪なマルウェアになると、Androidのroot権限を奪って、ユーザー権限で動作しているウィルス対策ソフトの手が及ばないシステム領域で悪さを働きます。root権限があるため、携帯電話の番号はもとより、通話履歴、メール、アドレス帳など、端末に記録されているすべての情報にアクセスできるようになるのです。」(山城氏)
恐ろしいのは、こうした攻撃をユーザーに一切知られることなく行うことができるマルウェアも存在することだ。
最近、ユーザーの位置情報などをこっそり送信するスパイウェアなどが話題になっているが、通常、こうしたアプリをインストールする際には、端末のどの機能にアクセスするかというパーミッションが表示され、ユーザーが不審に思えばインストールしないという決断を下すこともできる。また、Androidには、開発者がパーミッション表示を一切行わないようにアプリを開発しても、それを実行する段階でOS側がアプリを強制終了する仕組みも備える。しかし、OSの脆弱性をついてroot権限を奪うツールはユーザーに対して行われるパーミッション表示を不必要にすることが可能であり、これを内包している凶悪なマルウェアは、パーミッション表示画面にてユーザーが判断出来ないようにしてしまうのだ。
こうしたOSの脆弱性を突くマルウェアとしては、「ドロイド・ドリーム(DroidDream)」、「ジンジャーマスター(Gingermaster)」といったものが有名だ。ユーザーが気づかぬうちに感染しているものもあるため、実際には多くの被害があると推測されており、「明らかになっているマルウェアは氷山の一角」(山城氏)だという。
では、こうしたスマートフォンをとりまく脅威に対して、一般ユーザーや企業ユーザーは、どう取り組んでいけばいいのか。本誌では、来る11月22日に、「2011 Webセキュリティセミナー」を開催する。山城氏は、そこで「スマートフォンのセキュリティ」をテーマにした講演を行う予定だ。
講演は、スマートフォンをめぐる現状についてラックの詳しい調査データから解説し、さらに、攻撃者がどのようにしてAndroid端末から情報を盗みとるかについて、実機を使ったデモも用意するといった興味深い内容となっている。ユーザーが急速に広がり、根本的な解決策が見つからないなかで、どのようにしてセキュリティを確保していくべきなのか、大いに参考になるはずだ。