モバイルのセキュリティ脅威
■近年のモバイルとパソコンとの違い
モバイルデバイス、特にスマートフォンは従来の携帯電話と異なり、機能がパソコンと同等となってきています。
一方、スマートフォンはパソコンと異なり、電話やメール、メッセージ機能を利用することから、基本的に電源をOFFにすることなく、常時OSが起動した状態で利用します。
しかも友人・知人の個人情報、SNS投稿、普段よくみるサイトといった生活する上で重要な情報が保存されています。
これらの点から、モバイルのセキュリティ対策はパソコンとは異なる視点での注意の仕方が必要となります。
PCの場合、電子メールの添付ファイルによるマルウェアの拡散が大きな被害につながっています。
一方、一般的なモバイル利用者は電子メールで添付ファイルを送信したり、受信して開いたりすることは頻繁にはないようです。
また、現在モバイル端末で主流となっている2つの OS、Android OS と iOS の双方では、主要なアプリの入手方法はインターネット上のアプリマーケット(Google Play、App Store)経由となっています。このため、モバイル利用者に不正アプリをインストールさせるための手法としては、電子メールの添付ファイルよりも、あらかじめ用意した不正な Webサイトへ誘導する手口、またはアプリマーケットで正規のアプリを偽装するという手口が多くなっています。
■スマートフォンに対する攻撃者の手口
では、攻撃者はどのようにしてモバイル利用者を不正サイトや不正アプリへ誘導するのでしょうか? 最近の攻撃事例によると、SNSへの投稿やメッセージにより利用者を誘導する方法があるようです。また PCと同じく、不正広告による誘導もあります。さらに、利用者を騙すソーシャルエンジニアリングといった手法を使い、マルウェアをインストールさせます。
例えば、人気アプリに偽装したマルウェア(しかもアプリマーケットで上位にありました!!)を利用者にインストールさせることによって、スマートフォン内の個人情報を窃取したり、遠隔操作を行える状態にしたりする事件がありました。スマートフォン向けランサムウェアによって端末がロックされ、端末復旧と引き替えに金銭を要求される被害も起きています。
■攻撃者の標的となっているAndroid
モバイル端末OSのうち、Androidは最も攻撃者の標的となっているケースが多いです。
これは、AndroidがGoogle Playというアプリマーケットだけでなく、独自サイトからのアプリダウンロードが可能となっているためでしょう。
また、Google Playでの配布でも審査はありますが、一般的にAppleのApp Storeよりも甘いといわれています。
実際に、TREND MICROによると、毎月のようにGoogle Play上に新しいマルウェアが確認されています。
このように、Android端末はそのままでは危険で、セキュリティを万全にしておく必要があるといえます。
では次に、攻撃の具体例を見ていきましょう。
まず、PCでも猛威を振るっているランサムウェアです。
モバイル向けには「MINISTRY OF JUSTICE」(法務省)を名乗り、日本語で身代金の要求をするマルウェアが話題となりました。
これがスマートフォンにインストールされると、画面をロックするなどして端末の操作をできなくしたり、端末内のデータを暗号化した上で、この復旧と引き換えに代金が要求されたりします。
さらに、Androidをターゲットとしたさまざまなトロイの木馬が発見されています。
例えば、新しいビデオゲームやアニメ、アダルトビデオの予告編を見せるというものです。
このようにしてユーザがスマートフォンを使ってこれらのビデオをダウンロードさせるよう仕向けることでトロイの木馬を忍び込ませて、リモートサーバに端末上のデータを意図せず転送されます。
例えば2012年には、以下のようなアプリの他、多くのアプリで個人情報を漏えいさせるアプリがGoogle Play上にアップされ、多くのユーザがダウンロードしてしまう事件がありました。
これらのアプリは、インストールする際に、電話帳データの読み取りや、電話ステータス/IDの読み取りなど、端末上の情報へのアクセスを要求します。
この要求に対して必要か不要かを見極めることなくそのままアクセス許可してしまうと、データが盗まれるという手口になっています。
対策としては、Androidでは攻撃者の標的となっていることをまず知る必要があります。
その上で、以下の点を注意していく必要があります。
①すでに普及し、市場で評価されているアプリを使うようにしましょう。
②アプリはGoogle Playなど、信頼できる有名なアプリストアから購入しましょう。さらに、信頼できるアプリストアだったとしても、提供元不明のアプリをインストールしないようにしましょう。デバイスのアプリケーション設定メニューで、「提供元不明のアプリ」オプション選択を解除するのも有効です。
③アプリケーションをインストールする際に、不必要なアクセス権を要求してきた場合はインストールを中断しましょう。
④ウイルス対策ソフトをインストールして、マルウェアを検知できるようにしましょう。
iOS端末では、基本的に正規アプリストアである「App Store」経由でしかアプリをインストールできず、攻撃者にとって強固な壁となっています。
しかし、迂回路はあります。
一つは「Jailbreak(脱獄化)」です。これにより、App Store以外からもアプリがダウンロード可能となったり、本来のOS設計上はアクセス不可となっている操作ができるようになったりします。これはOSにより守られていたセキュリティが脆弱になることを意味します。
したがって、Jailbreakしないことは、iOS端末のセキュリティ対策において大前提となっています。
しかし、Jailbreakしなくても不正なコンテンツをダウンロードさせる手段があります。それはAppleのエンタープライズ配布用証明書を悪用する手口です。
この証明書で署名されたアプリはApp Storeを経由しなくても、iOS端末にインストールできるようになっています。
本来の目的は、企業で独自開発したアプリを社員の端末にだけ配布できるようにするためです。このために、端末に対する制限が緩和されていますが、これが悪用されています。
対策としては、出処の不明な証明書をインストールしないことです。
■モバイル全般に関わるセキュリティ対策
これまでは、Android、iOSそれぞれの特徴に関連したセキュリティ脅威と対策について述べました。
次は、これらに関係なくモバイル用途で必要となるセキュリティ対策について考えていきます。
①マルウェアやSNSへの投稿により、意図せず端末の位置情報が不特定多数の人に知られる危険性に注意する
スマートフォンの多くはGPS機能が搭載されています。スマートフォンで撮影した写真には位置情報が付加されているので、写真の見た目でどこかわからなくても、位置情報で判明する場合があります。また、ダウンロードしたアプリが位置情報を取得するマルウェアだったとすると、自分がどこにいるかを追跡される恐れがあります。
自動的に無料Wi-Fiスポットに接続するように設定することは避けた方がよいでしょう。通りすがりに知らないうちに危険な無料Wi-Fiスポットに接続してしまうかもしれません。しかしどうしても利用する場合は、ウイルス対策をしておく必要があります。
③OSアップデートが出たら、すぐにインストールする
OSのアップデートは微細な不具合の対応だけでなく、セキュリティアップデートを含むことがあるため、必要なセキュリティ対策となります。
iOSの場合、OSアップデートがあると以下のように「設定」→「一般」の「ソフトウェア・アップデート」に印(バッジ)が付きます。
Androidは端末メーカーによって画面が異なるケースがありますが、アップデート通知画面が表示されます。詳しくは各メーカーまたはキャリアの情報を確認してください。