/

利用者急増が引き金、防御に課題山積

狙われるスマートフォン(1)

 コンピュータに感染し,情報を盗んだり破壊したりする「マルウエア」(悪意のある不正なソフトウエア)。これまではパソコンをターゲットにしたものがほとんどだったが,スマートフォンでも蔓延(まんえん)する危険性が高まっている。スマートフォンの普及が加速し,攻撃対象として十分な規模になってきたからだ。パソコン同様の対策が求められるものの,スマートフォンならではの壁が立ちはだかる。全5回の連載で現状と対策を探っていくことにする。

外出先などでのインターネットへの接続機器として,スマートフォンが台頭している。米Goldman Sachs Group社の推計によれば,2012年にもスマートフォンの出荷台数がパソコンを抜く。利用台数でも,パソコンを超えるのは時間の問題だ。

そうなれば,現在パソコンを狙って作られているマルウエアの矛先は,スマートフォンにも向けられるようになるだろう(図1)。犯罪者は効率良く目的を達するために,広く普及したプラットフォームを狙うからだ。

しかも,スマートフォンはこれまでの携帯電話機と異なり,アプリケーション・ソフトウエア(以下,アプリ)の開発がパソコン並みに自由で,新しいアプリの追加も容易だ。インターネットへの接続の自由度も従来型の携帯電話機より高い。「システム基盤,コンテンツの流通,ネットワークがオープンになるほど,攻撃の対象になりやすい」(トレンドマイクロ グローバルマーケティング統括本部 事業開発部部長 兼 戦略企画室 室長の斧江章一氏)ことを考えれば,スマートフォンは犯罪者にとって絶好の攻撃目標といえる。

スマートフォンには,「犯罪者にとってよだれが出るほど手に入れたい情報が満載されている」(日本IBM ITS事業本部 ITSソリューション セキュリティ・エバンジェリストの大西克美氏)。電話帳には名前,電話番号,メール・アドレスなどが入っているし,私的な情報が送受信される。こうしたデータを入手できれば,別の犯罪者に高値で売れる。

Androidへの攻撃が活発化

パソコンを利用台数で上回る日を待たずして,最近ではスマートフォンにマルウエアを仕込む攻撃が顕在化しつつある。特に目立つのが,ソフトウエア・プラットフォームとして「Android」を搭載したスマートフォンを狙った攻撃だ。

Android端末が狙われるのは,アプリが個人情報を取得する際の敷居が低い上,マルウエアを簡単に配布できるからだ。Androidでは,インストールしようとしているアプリが個人情報や位置情報など個人の行動を特定できる情報を取得するものだった場合,ユーザーにその許可を求める。ところが,この問い合わせ画面からユーザーはアプリの危険度を判断できないため,簡単に許可を与えてしまう可能性が高い。一度許可されると,そのアプリは制限されることなく,個人情報を使えるようになる。また,Androidアプリのマーケット「Android Market」には誰でもアプリが登録できるし,Android端末にはAndroid Market以外からでもアプリを配布できる。

こうしたAndroidのオープン性は開発者に歓迎されている。ただ,それは犯罪者にとっても同様である。彼らはさまざまなマルウエアを作り,Android Marketで配布している。

そうしたものの一つが,フィンランドF-Secure社が2010年8月に発見した「Tap Snake」だ。Tap Snakeはゲームを装ったアプリで,インストールすると,アプリ作者のWebサーバーに向けて15分おきにユーザーの位置情報を送信する。ゲーム画面を終了しても,バックグラウンドで動作し,位置情報を送り続ける。

同じく2010年8月に,ロシアのKaspersky Labs社が見つけた「Movie Player」もマルウエアだった。インストールして起動すると,プレミアムSMS(ショートメッセージサービス)と呼ばれる有料情報提供サービスに向けて,ユーザーに意識されることなくSMSが送られる。この利用料はユーザーに課金されてしまう。

2010年9月にはアダルト動画の閲覧アプリを装ったマルウエアがAndroid Marketの外で発見されている。Webサイトから直接,アプリ・パッケージをダウンロードさせ,インストールさせる手口を使っていた。これによる被害は先のMovie Playerと同様で,有料サービスにSMSを送るというものである。

実際の被害については明らかになっていないが,このようにAndroidが備える機能を悪用しようと思えば,簡単にできてしまう状態にあるのだ。

Marketにスパイウエアが蔓延

セキュリティー・ソフトウエア企業が公表した,こうしたマルウエアは,実際に流通している多数のマルウエアの氷山の一角にすぎない。

KDDI研究所が2010年7月にAndroid Marketを調査したところ,「マルウエアと思われるアプリが多数含まれていることが判明した」(KDDI研究所 ネットワークセキュリティグループ 研究主査の竹森敬祐氏)。この調査では,Android Marketから646個のアプリを無作為抽出し,それらが端末から取得する情報についての許可(パーミッション)の種類を調べた。

結果としては,約17.2%のアプリが電話番号や端末識別番号(IMEI)などの取得を要求することが分かった(表1)。また,約15.2%が詳細な位置情報,約11.6%が電話帳やアドレス帳情報を読み出す可能性があった。

この中には位置情報や電話番号,アドレス帳の情報を使う一般のアプリも,もちろん含まれる。例えば,広告アプリの場合は,端末が使われている国や地域を知るために位置情報が必要だ。アクセスしてきた端末を識別するために,電話番号やIMEIを使う例もある。そうしたケースを除外しても,怪しい動きをするアプリが数多くあったという。

例えば,ウイルス対策ソフトと称してAndroid Market上で配布されているあるアプリは,電話番号やIMEI,電話帳の読み出し,電話やSMSの発信など,多数のパーミッションを要求する(図2)。

これらの情報はいずれも,ウイルス対策ソフトとして動作するためには不要なものだ。KDDI研究所内でこのソフトを動作させてみたところ,IMEIとSIM番号がアプリ作者のサーバーに送られたという。しかも,Androidに既知のマルウエアを仕込んでみても,これを検知する様子はなかった。 (次回の『着実に進むiPhoneの「攻略」』に続く)

(日経エレクトロニクス 中道理)

[日経エレクトロニクス2010年11月15日号の記事を基に再構成]

初割ですべての記事が読み放題
今なら2カ月無料!

関連企業・業界

セレクション

トレンドウオッチ

新着

注目

ビジネス

ライフスタイル

新着

注目

ビジネス

ライフスタイル

新着

注目

ビジネス

ライフスタイル

フォローする
有料会員の方のみご利用になれます。気になる連載・コラム・キーワードをフォローすると、「Myニュース」でまとめよみができます。
新規会員登録ログイン
記事を保存する
有料会員の方のみご利用になれます。保存した記事はスマホやタブレットでもご覧いただけます。
新規会員登録ログイン
Think! の投稿を読む
記事と併せて、エキスパート(専門家)のひとこと解説や分析を読むことができます。会員の方のみご利用になれます。
新規会員登録 (無料)ログイン
図表を保存する
有料会員の方のみご利用になれます。保存した図表はスマホやタブレットでもご覧いただけます。
新規会員登録ログイン