ダウンロード - G DATA

G Data Software
ＭｏｂｉｌｅＭａｌｗａｒｅＲｅｐｏｒｔ
アンドロイド・マルウェアの現状
Mobile Malware Report 201404
2013 年の動向と今後の予測
G Data セキュリティラボ：編
G Data. Security Made in Germany
G Data Mobile Malware Report 201404
目次
1 イントロダクション
2
1-1 2013 年度の状況（概要）
2
1-2 今後の見通し（概要）
3
2 現状
4
2-1 全体像
5
2-2 迷惑アプリの激増
8
2-3 ハッキング・ツール
9
3 今後の見通し
9
3-1 SMS マルウェアは減少傾向に
10
3-2 ビットコイン――狙われる仮想通貨
12
3-3 クロスプラットフォーム・マルウェア
12
3-4 その他
13
Copyright © 2014 G Data Software AG
1
G Data Mobile Malware Report 201404
１イントロダクション
以下は、2013 年度アンドロイド・マルウェアの状況と 2014 年度の傾向に関するレポートです。
ドイツの代表的セキュリティベンダーである G Data のセキュリティラボが調査を行い、その結
果をまとめました。
この「１イントロダクション」では、2013 年度の状況と今後の動向について、簡単にまとめてお
きます。
１－１ 2013 年度の状況（概要）
- Android OS を搭載している端末(スマートフォン、タブレット PC など。以下では「Android 端
末」と略記します)の出荷台数は、2014 年中に、10 億台を超える見通しです1。
- Android 端末の 2013 年の年間出荷台数は、約 877,885,000 台で、9 億台に近づきました。
2012 年から 2013 年への成長率は 74%増であり、2013 年から 2014 年への成長率は 26%増でし
た2。
- アンドロイド OS で作動するマルウェア（以下では「アンドロイド・マルウェア」と呼びます）は、
2013 年の 1 年間で、約 120 万の新種が現れました。
- 半期ごとでみると、2013 年上半期には 526,818 件、下半期には 672,940 件現れ、下半期の
方が 30%増加しました。
- 昨年比でみると、2012 年から 2013 年にかけて、460%の増加となりました。
- マルウェアの種類別でみると、バックドア型が微増（5.7%増）しました。
- 数年前までは、マルウェアの活動は、ウィンドウズ OS のパソコンが中心でしたが、今やアンド
ロイド OS の携帯端末に比重が移りはじめています。
- アンドロイド端末も、かつてウィンドウズ OS のパソコンがそうであったように、ボットネットに組み
込まれはじめています。
1
2
米調査会社ガートナーによる（2014 年 1 月 7 日（現地時間）発表）。
同上。
Copyright © 2014 G Data Software AG
2
G Data Mobile Malware Report 201404
- アンドロイド OS で作動する不正アプリのなかで、もっとも多いのは、「迷惑アプリ」です。
- 「迷惑アプリ」は、これまでのマルウェアのなかでは、比較的おとなしく、個人情報を盗み出し
たり、遠隔操作を行うようなことはありませんが、不要な表示（場合によっては不快な表示）を行
い続け、削除がしにくいため、多くのユーザーを困らせています。
- 「迷惑アプリ」のようなプログラムは、総称として、「PUP」（ポテンシャリー・アンウォンテッド・プ
ログラム）と呼ばれています。
- 「PUP」は、全体の新種マルウェアのうち、40%近くを占めています。
- アンドロイド・アプリのなかでは「ハッカー・ツール」もまた、危険を伴うプログラムです。
- しばしば「ハッカー・ツール」は、用途があいまいで、システムをチェックするのに使用されると
しても、使い方次第ではスパイウェアにもなるもので、注意が必要です。
１－２今後の見通し（概要）
- 2013 年に猛威をふるった SMS（ショート・メッセージ・サービス）を悪用したマルウェアは、新
種の製造もその利用も、2014 年には減少すると思われます。
- SMS マルウェアの減少は、アンドロイド OS のセキュリティ・メカニズムが改良され、SMS のセ
キュリティが強化されたためです。
- その代わりに、個人情報を盗み出そうとしたり、「PUP」のような少額を請求する詐欺プログラ
ムを開発し流布させようとするネット犯罪者が増えるでしょう。
- ネット犯罪者たちがマルウェアを仕掛ける目的の第一は、相変わらず、金銭です。
- したがって、ビットコインのような仮想通貨は、今後彼らのターゲットとなる可能性が高まって
ゆくでしょう。
- しかもアンドロイド端末に仮想通貨を貯めている（＝データを保存している）ような場合、恰好
の餌食となるおそれがあります。
Copyright © 2014 G Data Software AG
3
G Data Mobile Malware Report 201404
- スマートフォンは次第に、組織内ネットワークにアクセスするのに利用されはじめており、そう
なると、組織内ネットワークでつながれた他の OS のマシンへの感染などが狙われはじめると思
われます。
- マルウェアを開発する側は、アンドロイド OS のみで作動するのではなく、アンドロイド OS とウ
ィンドウズ OS 両方で作動するようなマルウェアをつくりだす可能性が高まっています。
- 家電製品や自動車など、さまざまな生活用品がインターネットとつながる「IoT」（インターネッ
ト・オブ・シング）が次第に注目を集めています。
-「IoT」は、アンドロイド端末がコントローラーとなり、各機器はアンドロイド OS で作動します。こ
の「IoT」が普及しはじめると、広範囲な機器に影響を及ぼすマルウェア攻撃が登場するおそ
れが出てきます。
- 「スマートテレビ」（またはインターネット環境がありアンドロイド端末を HDMI 端子に装着する
機器を使ったテレビ）への最初の攻撃は、2014 年中に発生すると考えられます。
２現状
G Data セキュリティラボでは、常に「アンドロイド・マルウェア」のプログラム3を調査しており、
新たに出現したマルウェアの確定を行っています。
アンドロイド・マルウェアの新種出現数は、スマートフォンの普及に伴い、2010 年頃より増加
をはじめ、以降、増加の一途をたどっています。
2013 年の上半期は約 53 万（526,818）件4、下半期は約 67 万件(672,940)でした。下半期は、
上半期よりも３０%も多くなり、これまでで最多となりました。
3
アンドロイド・マルウェアは、いくつかのファイルに基づいて識別されます。インストール・パッケージ(APK)は、
コードとプロパティを含む多数のファイルを含んでいます。この方法で数えると、ライブラリにいくつかのファイ
ルがあったとしても、APK およびそれぞれのコンポーネントを検知することで 1 つの不正ファイルとしてまとめ
られます。
4
グラフ 1 に示されているように、2013 年下半期の数は、以前に公表されたどの数よりも多くなっています。G
Data のセキュリティラボでは、長期にわたって収集された不正ファイルをまとめて受け取った場合、なかには
数ヶ月前の古いファイルが含まれていることもあるので、その場合、後に各月に割り当てています。
Copyright © 2014 G Data Software AG
4
G Data Mobile Malware Report 201404
その結果 2013 年は、2012 年と比べて 4.6 倍に達しました。1 年間で約 120 万件(1,199,758)
であり、過去最高を記録しました。
1 日平均にすると、1 日につき 3,657 件の新種が登場したことになります。
グラフ 1 2013 年月別新種アンドロイド・マルウェア発生数の変遷
２－１全体像
アンドロイド・マルウェアは、そのプログラム（不正コード5）の特性に基づいていくつかの種類6
に分けることができます。
そのうちの、312,438 件は、グラフ 2 にある「マルウェア種」に該当し、はっきりと「不正プログラ
ム」と認められるものです。「マルウェア種」には、2,859 の亜種があります。
5
マルウェア数の数え方については、G Data のモバイル製品の保護機能に基づいています。
672,940 のサンプルのうち、マルウェアとしてカウントされないのは、360,502 件あり、それらは「PUP」か「ジ
ェネリック」かに分かれます（＝グラフ 2 の右側）。
6
Copyright © 2014 G Data Software AG
5
G Data Mobile Malware Report 201404
これらの亜種は、581 の異なる「種目」にまとめられます。下半期には、176 の新たな種が確
認されました。
以下の表 1 は、2013 年の下半期において、もっとも亜種の数が多いマルウェア種目が何で
あったのかを示したものです。
マルウェア種目
亜種の数
Trojan.Agent
586
Trojan.SMSSend
171
Backdoor.GingerMaster
159
Trojan.SMSAgent
96
Trojan.Boxer
80
表１ 2013 年下半期に頻出したアンドロイド・マルウェア種の上位
この表 1 の上位 5 種目のうち、4 種目が「トロイの木馬7」（Trojan）型に含まれ、1 種目が「バ
ックドア8」型に含まれます。
アンドロイド・マルウェアは、こうした「マルウェア種」に加えて、「ジェネリック」や「PUP」といっ
た「不正」ではない「迷惑」なプログラムも大きな比率を占めています。
グラフ 2 の内側の円は、マルウェア種に分類されるもの（＝「マルウェア種」）と、「不正」では
ない「迷惑」なプログラム（PUP9）（＝「ジェネリック＆PUP」）との比率を示しています。
7
アプリをインストールした際に、表向きは普通に使用できるのですが、実は隠れて別の挙動も行われてい
るものです。たとえば、GPS を使って位置情報を外部に送信したり、SMS を送ったりします。
8
外部と交信するためのポートを気づかれずに開ける機能をもっています。
9
「PUP」は、従来のマルウェア・プログラムとは少々異なります。一般的にマルウェアとは、ユーザーの了解
なしに感染させてダメージを与えるか、情報を盗み出すようなプログラムを指し、使用された場合、個人情
報の窃盗、あるいは不正行為といった犯罪となります。しかしそうは言っても、マルウェアと「PUP」またはアド
ウェアのような他の迷惑なアプリとのあいだに、はっきりと線を引くのは必ずしも容易ではありません。しばしば
問題となる例としては、「ブラウザ・ハイジャッカー」が挙げられます。これは、システムの深部に隠されるため
簡単に削除ができないようにしたうえで、ブラウザの設定を変更し、迷惑な広告を表示させ（＝アドウェア）、
バックグラウンドではユーザーの挙動を密かに見張り（＝スパイウェア）ます。でえすが、それでもこのプログ
ラムは、厳密に言うと、「不正」（＝マルウェア）と断言できません。実際にそのアプリの機能が使用されている
場合が多いので、英語では「PUP」すなわち「潜在的に」望まれないプログラムという名称になっています。
Copyright © 2014 G Data Software AG
6
G Data Mobile Malware Report 201404
「マルウェア」と「ジェネリック＆PUP」との比率は、2013 年上半期においては、やや「マルウェ
ア」が多かったものの、ほぼ半数ずつでした10。
グラフ 2 2013 年下半期のモバイル・マルウェア新種の主な種別比率
外側の円は、G Data のモバイルセキュリティ製品のワクチン（定義ファイル）で示される名称
別の比率です。
左側では、「トロイの木馬型」が 80.9%、「バックドア型」が 18.8%、「エクスプロイト型」が 0.3%で
す。また右側では、「アプリケーション」が 75.4%、「ジェネリック」が 24.6%です。
２－２迷惑アプリの激増
ユーザーが望んでいないプログラムをインストールさせるという手口である「PUP」は、かなり
活発な動きをしています。
10
G Data セキュリティラボにおいてマルウェア判定のプロセスが改良されたことにより、検知したファイルの
属性をはっきりとさせ、それにふさわしいセクターに分類することができるようになりました。したがって、ジェネ
リックと PUP のセクターのなかで「アンドロイド・アプリケーション」の割合が大きく増加することになりました。
Copyright © 2014 G Data Software AG
7
G Data Mobile Malware Report 201404
「PUP」はユーザーが許可をして導入をしているために、厳密には「不正アプリ」でも「マルウ
ェア」でもありません。
しかし、ユーザーが望んでいない広告を勝手に表示させたり、ウェッブへのアクセス履歴な
どの情報を収集する機能が作動するものが多く、しかも、通常の方法では完全削除が困難な
ため、トラブルが続出しています。
2013 年度下半期において「PUP」の活動は、かなり活発であり、全体の「新種マルウェア」数
としてカウントされたうち、40.4%にも上っています。
「アンドロイド・アプリケーション」として検知されたなかには、たとえば、2014 年初頭に発見さ
れたアドビのフラッシュプレイヤーの偽アプリなども含まれます。
この偽アプリは、グーグル・プレイ・ストア11に仕掛けられたため、多くの犠牲者が出ました。
さらに、「コピーキャット」として開発されたアプリもまた、このカテゴリーに含まれています。
「コピーキャット」とは、完全にふつうのアプリのプログラムを流用してつくられ、そこに、広告の
表示や新たな権限許可の要求など、アドオンとして迷惑な機能を付加したものです。
攻撃者はこのような、アドオンをアプリに付加して新たなマルウェアをつくりだすために「バイ
ンダー」というものを使っています（この件については、昨年のマルウェアレポート（英語版）12を
参照）。
インストール後、しばらくの間アプリは特に問題なく作動するので、ユーザーは、ただちにはこ
のアプリを削除することはありません。一方、仕掛けた側は、概して、このアプリへのアップデー
トを提供することはありません。
そうすると、使っているうちにユーザーは、このアプリを使っているだけで、セキュリティ面にお
ける脆弱性を抱え込むことになるのです。
11
G Data セキュリティブログを参照： http://blog.gdatasoftware.com/blog/article/worth-lookingagain-fake-flash-player-apps-in-google-play-store.html
12
「G Data モバイル・マルウェア・レポート 2013 年上半期」を参照：http://www.gdata.de/rdk/dl-enmmwr
Copyright © 2014 G Data Software AG
8
G Data Mobile Malware Report 201404
開発者から何か改善策が出されるわけではないので、使い続けようとすると、本当はユーザ
ー自身がしっかりと対応しなければなりません。
G Data セキュリティラボとしては、アプリのダウンロードについては、身元のはっきりしているも
のに限定するよう、注意を促します。
２－３ハッキング・ツール
「PUP」に分類されたアプリケーションのなかには、たとえば、ネットワークを監視するプログラ
ムとして利用される「ハッキング・ツール」も含まれています。
しかしながら、こういったプログラムの使用は、正当な、善意に基づいた目的のためだけでな
く、スパイおよび監視に使用することも可能であり、その境目はとても曖昧です。
「侵入検査ツール」13の大半は、きちんとした組織・機関でつくられ、研究目的で使用されて
います。しかし、その後、不正行為のために悪用されるようになっています。
セキュリティホールやソフトウェアの脆弱性に関する知識は、「ハッカー・ツール」や「侵入ツ
ール」を使用して取得され、結果的には、マルウェアを作成するネット犯罪者にとって欠かせな
いものとなっています。
３今後の見通し
2013 年 9 月上旬に、グーグル社の製品管理責任者（シニア・バイス・プレジデント）であるサ
ンダー・ピチャイ氏は、アンドロイド、クローム、アプリを含むアンドロイド機器の利用数が 10 億
の大きな壁を突破した、と報告しました14。
アンドロイド端末の人気は今なお、衰える気配がありません。
13
「ペンテスティング」とは「侵入検査」の略語で、コンピュータもしくはネットワークのセキュリティ脆弱性を見
つけるためのテストのことです。検査中に使われる方法は、攻撃者がシステムに入り込むために使用されて
いるものと同一です。
14
以下を参照： https://plus.google.com/+SundarPichai/posts/NeBW7AjT1QM
Copyright © 2014 G Data Software AG
9
G Data Mobile Malware Report 201404
グラフ 3 アンドロイド機器の利用数
利用者数の急激な増加に伴い、ネット犯罪者の利益の増加も、同時に起こっています。それ
は、活性化しているプラットフォームが利益を生み出しやすいからです。
かつてウィンドウズがそうであったように、さまざまな詐欺の手口が利用され、あらゆる攻撃手
法が試されます。
2013 年に SMS へのマルウェアが集中したのも、こうした理由からです。しかし今、新たな脅
威のシナリオと収入源が生まれようとしています。
３－１ SMS マルウェアは減少傾向に
アンドロイド OS はバージョン 4 以上が次第に市場のシェアを拡大しており、結果、SMS マル
ウェアに対するセキュリティも改善しはじめています。
ただし、不注意にも、多くのユーザーがアプリ権限の表示を見ようともしません。また、許可情
報もすぐさまスキップしてしまいます。
Copyright © 2014 G Data Software AG
10
G Data Mobile Malware Report 201404
せっかく新バージョンでは、コインのアイコン15を使い、メッセージもはっきりと分かるようにして
いますが、ユーザーがきちんと対応しなければ、セキュリティ上はより危険になってしまいました。
その後、OS がバージョン 4.2 になってからは機能が統
合され、プレミアム SMS フィルターが導入されました。
インストールの際にユーザーに警告を与えるだけでなく、
チェック機能が追加され、送られてくる SMS メッセージに
先立って警告画面を表示させます。
さらに、アンドロイド・キットカット（バージョン 4.4）におい
ては、デフォルトで選択される SMS だけが唯一メッセージ
を受け取ったり、送信したり、削除することが許されている
点が改良されました16。
これは、ユーザーに気づかれずにメッセージを送ること
をより難しくし、たとえば、売買契約書あるいは mTAN 受
取などを秘密にするように入って来る SMS メッセージを
傍受したり削除したりすることが概ね可能ではなくなること
を意味します。
スクリーンショット 1 アンドロイドがプレ
ミアム SMS 送信に対してユーザーに警
告する
実際の利用率でみると、2013 年 2 月には、アンドロイド機器のバージョン 4.2 の利用率は
1.4%でした。これが 11 月には 4.2 と 4.3 の利用率は 15.8%になり、12 月には 4.2 から 4.4 までの
利用率は 18.2%まで上昇しました。傾向としては、利用率の上昇がはっきりと分かります。
SMS 詐欺がきわめてスピーディーに現金獲得を可能にし、最高のコストパフォーマンスを指
名していたわけですが、これが利用しにくくなると、攻撃者は自分のもっている詐欺手法をもっ
と洗練化させるか、または、別の分野に移るかしなくてはならなくなります。
その結果、データを盗み出す機能やランサムウェアの開発と配布が、とりわけ、注目をあび
ることになります。
15
スクリーンショット 1 を参照。
以下を参照： http://android-developers.blogspot.de/2013/10/getting-your-sms-apps-ready-forkitkat.html
16
Copyright © 2014 G Data Software AG
11
G Data Mobile Malware Report 201404
３－２ビットコイン――狙われはじめた仮想通貨
現在もっともよく知られている仮想通貨はビットコインです。しかし、今後さまざまなサービス
やプログラムが登場し、ビットコイン以外にも注目される仮想通貨は登場するかもしれません。
いずれにせよ、仮想通貨のようなものを使ったネットでの決済は、将来的にはかなり一般的に
なると予測されます。
ただし当面は、私たちの日常的なやりとりだけではなく、闇市場の取引において、積極的に
利用されることになりそうです。
仮想通貨は、国家が管理する銀行と違って、匿名性というものが保証されるため、一部のユ
ーザーにとっては非常にメリットがあるからです。
しかし、仮想通貨は、通常の通貨のように、貴金属などの物理的な対応物を持っておらず、
デジタルデータにのみ基づいています。
その結果、通貨のデータ保管も、純粋にデジタル化されているため、保存データのなかでも
特に、利用者情報やウォーレットの暗号鍵などが狙われます。
2014 年に入って、急激にビットコインのことが知られるようになり、多くの人が関心を示しはじ
めました。
取引所であるマウントゴックスは現在破綻してしまったものの、新規ユーザーの参加も目撃さ
れはじめています。
ネット犯罪者が彼らのウォーレットにアクセスできてしまえば、彼らはビットコインを横取りし、し
かも、マネーロンダリングなどを行わなくてもそのまま使っても、まったく足がつきません。
G Data セキュリティラボの専門家は将来、アンドロイド・マルウェアがモバイル機器から仮想
通貨のためのデータを盗み出す可能性があると考えています。
３－３増加傾向にあるクロスプラットフォーム・マルウェア
国内では使われていませんが、ヨーロッパやアフリカのオンラインバンキングで送金などを
行う際に、スマートフォンのSMSでワンタイム・パスワードを発行する仕組み（mTAN、mobile
Copyright © 2014 G Data Software AG
12
G Data Mobile Malware Report 201404
Transaction Authentication Number）がよく利用されています。
犯罪者はこれを狙い、クロスプラットフォームのマルウェアを使って攻撃してくるおそれがあり
ます17。
mTAN機能の導入以来、モバイル機器は、オンラインバンキングにおいて重要な役割をは
たすようになり、そのために、攻撃者からも狙われはじめています。
感染したパソコンはしばしば、インターネットからmTANなどを介してモバイル機器にセキュリ
ティアプリを提供するといった内容のSMSを送り、セキュリティアプリをダウンロードさせインスト
ールするよう誘いこみます。
ただ、幸いに、たとえアプリが自動的にダウンロードされたとしても、ユーザーは手動でインス
トールを開始しなければならないため、すぐには感染しません18。
セキュリティラボではすでに、モバイル機器とパソコンとのあいだでやりとりが行えるマルウェ
アを目撃しています。
たとえば、モバイル機器が感染すると、ウィンドウズのマルウェアをダウンロードするためのコ
マンドがメモリに記憶されます。それからしばらくして、モバイル機器がコンピュータに接続され
たときに、自動実行機能を介してPC上で動作させるというものです。
現在では、ウィンドウズ・マルウェアであっても、モバイル機器がパソコンに接続されると、モ
バイル機器に感染したAPKファイルがインストールされてしまうといった事態が起こるのです。
３－４その他
- ボットネットの一部として、モバイル機器はますます DDoS 攻撃のためのツールとして使用さ
れ、不正使用される可能性があります。
17
G Data セキュリティブログを参照： http://blog.gdatasoftware.com/blog/article/apparent-securitycertificate-turns-out-to-be-android-malware.html
18
G Data セキュリティブログを参照： http://blog.gdatasoftware.com/blog/article/android-malwareinfects-windows-pcs-with-spy-bot.html
Copyright © 2014 G Data Software AG
13
G Data Mobile Malware Report 201404
- 家電製品や自動車など、さまざまな生活用品がインターネットとつながる「IoT」（インターネッ
ト・オブ・シング）は、多くがアンドロイド OS で作動するため、今後、さまざまな攻撃が行われると
考えられます。
これまで、それぞれが別々の機器であったインテリジェント冷蔵庫やエアコンが多機能テレ
ビ、ゲーム機器などを使ってインターネット経由で操作可能になります。
すべてがネットワーク化され、利便性の理由から、一般に家の外からも同様にアクセスするこ
とができるようになります。
しかし、残念ながら、製品のセールス・アピールは、セキュリティ機能を実装することよりも、新
機能や機能の開発に置かれます。
日本語版2014年4月9日発行
Copyright © 2014 G Data Software AG
14

Download Report