モバイル端末のセキュリティ : 現状と今後

モバイル端末のセキュリティ
モバイル端末のセキュリティ :
現状と今後
McAfee® Labs ™ では、スマートフォンなどのモバイル端末の現状を調
査し、そのセキュリティリスクについて検討しました。また、携帯端末を
巡る今後の脅威ついて予測を行いました。
Dr. Igor Muttik
レポート
モバイル端末のセキュリティ : 現状と今後
デスクトップコンピューターの保護対策は着実に進歩しています。ハードウェア、オペレーティングシス
テム、アプリケーションの安全性は向上しています。しかし、マルウェアが消滅する気配は全くありま
せん。現在、スマートフォンやタブレットなどのモバイル端末が急速に普及していますが、これらの携
帯端末のセキュリティは万全なのでしょうか。デスクトップコンピューターで積み重ねた経験や知識を活
用すれば、新しいモバイル端末の安全性もいくらかは確保されるでしょう。このレポートでは、モバイ
ル端末を巡る脅威について詳しく分析し、問題点について論じることにします。
いたずらに不安を煽るつもりはありませんが、モバイル端末を巡るセキュリティ問題が緩和されることは
ありません。マルウェア全体の脅威は低下するかもしれませんが、モバイル端末に対する被害は大き
なものとなります。スマートフォンはほぼ常時接続された状態であり、個人情報も記録されています。
小型カメラやマイクロフォン、 GPS などの機能も搭載されています。まるで昔の映画に出てくるスパイの
ようです。デスクトップ（ノート PC やラップトップ）に比べると、組み込み機器の選択肢が広いため、
オペレーティングシステム（OS）やアプリケーションは複雑になり、攻撃を受ける機会も増えています。
iOS や Android など、代表的な OS のコア部分には Unix/Linux が使用されています。システムは比較
的安全なはずですが、市場の競争原理のため、セキュリティよりも市場投入までの時間が優先され、
コアドライバやアプリケーションを十分にテストしないまま出荷されるケースも少なくありません。同じ問
題はファームウェアや OS の更新を実装する場合にも発生しています。このため、攻撃によって大きな
被害を受ける可能性があります。
この数年間にデスクトップコンピューターで確認された脅威の殆どがモバイル端末でも発生する可能性
があります。寄生型ウイルスは例外です（詳細は後述します）。残念ながらモバイル環境でも同じ脅
威が繰り返されることになるでしょう。また、デスクトップにはないスマートフォン固有の機能を狙う新種
のマルウェアも出現する可能性があります。
このレポートでは、モバイル端末とスマートフォンを同じ意味で使用しています。モバイル端末はより広
い意味で、携帯ゲーム機、リーダー、タブレットなども含まれます。同じ機能が様々な端末で使用さ
れています。現在の携帯電話は特化した端末よりも多くの機能を提供しています。
2
レポート
モバイル端末のセキュリティ : 現状と今後
目次
モバイル端末の特性
4
これまでの環境
7
Android
8
iOS、 Windows Phone 7 など
12
エコシステムの現状と今後
12
変化と予測
16
結論
26
謝辞
27
レポート
モバイル端末のセキュリティ : 現状と今後
モバイル端末の特性
移動性が脆弱性に
モバイル端末は持ち運びを前提とする機器です。紛失や盗難の可能性は高くなり、肩越しに画面やキー
ボードが覗かれることもあります。端末を PIN 番号やパスフレーズで保護していても、攻撃者がその気
になれば、入力中に PIN 番号を覗き見ることなど造作もないことです。ほんのわずかな油断でも携帯
端末を危険にさらすことになります 1。
多機能なスマートフォンがあれば、複数の機器を持ち運ぶ必要はなくなります。このようなスマートフォン
は機能だけでなく価格も高額です。犯罪者が目をつけても不思議はありません。ハードウェア自体も高
価ですが、端末に記録されているデータを狙う犯罪者が増えています。ハードウェアよりもはるかに価
値のあるデータが記録されていることも少なくありません。
盗まれた端末の再販を防ぐ対策も実施されています。携帯電話会社は、端末の盗難や紛失の届け出
を受けると IMEI（International Mobile Equipment Identity）で端末を識別し、使用を停止します。しかし、
このような処置が行われていない国もあります。 IMEI の改ざんも可能ですが、国によってはこのよう
な端末の所持は違法行為になります。端末の価格は年々下がっていますが、データの価値はそれに
反比例しています。多くの場合、端末の部品よりも記録されているデータのほうが高くなっています。
オンラインバンキング（近距離無線通信を含む）や仕事（企業秘密、設計図、ロードマップ、特許文
書などの保存）でスマートフォンを使用するユーザーが増えれば、この価値はさらに増していきます。
バッテリー駆動
モバイル端末は定期的に充電が必要です。無線ネットワークや通話などの操作を行うとバッテリーの
消費が速くなります。バッテリーを節約するために、携帯電話は節電モードに入ります。このモードに
入ると、ソフトウェアはタイマーを使用して定期的に起動し、必要な処理を実行します。節電モードへ
の切り替えを防ぐアプリケーションもあります。効率の悪いソフトウェアもバッテリーの消費を早めます。
当然のことながらマルウェアも電力を消費します。 SymbOS/Cabir ワームや SymbOS/Commwarrior ワー
ムなどは、拡散するために Bluetooth を頻繁に使用しています。マルウェアの作成者の多くは、正規
のソフトウェアメーカーのようにユーザーの操作性を気にしません。このため、マルウェアは頻繁に起
動し、バッテリーの消費が速くなります。例外もあります。 APT （Advanced Persistent Threat）のよう
に長期間潜伏するマルウェアは、ユーザーに怪しまれないようにするためバッテリーの消費を抑えてい
ます。マルウェアの作成者は、消費電力の多い操作を実行せず、マルウェアの生存期間を長くしよう
とします。長期間存在させることが攻撃者の目標になっていることもあります。
BlackHat 2011 で、ある研究者がバッテリーファームウェアに侵入し、サービス拒否（DoS、 Denialon-Service）によってバッテリーを完全に消費して機能不能にしました 2。このようなマルウェアが緊急時
の対策チームを狙ったらどうなるでしょう。リモートから制御可能なボットネットやサイバー戦争用の APT
がリモートからの命令に従ってバッテリの消費に成功すると、攻撃を受けたチームは便利な通信手段を
失うことになります。一回の攻撃ですべての通信手段を失うかもしれません。
1. http://www.pcworld.com/article/219245/iphone_attack_reveals_passwords_in_six_minutes.html
2. http://www.v3.co.uk/v3-uk/news/2099616/black-hat-charlie-miller-explains-apple-battery-hack
4
レポート
モバイル端末のセキュリティ : 現状と今後
GPS
所有者の追跡
多くのモバイル端末には GPS （全地球測位システム）機能が搭載されています。アプリケーションはこ
の機能を使用して端末の現在位置を取得し、位置情報サービス（ローカルマップの表示、撮影場所
付きの写真など）を提供しています。当然のことながら、ソフトウェアは端末と端末の現在位置を認識
しています。この情報が外部に流出すれば不正な目的に利用されることは明らかです。実際に、位置
情報を悪用するマルウェア（GPS Spy、 TapSnake）が Android で見つかっています。端末所有者のプ
ライバシーを保護し、 GPS データの使用を制限しなければなりません。 iOS や Android など、現在の
モバイル端末用 OS には GPS データへのアクセスを制限する機能が搭載されています。
アプリケーションや OS で GPS データが適切に処理されていないと、プライバシーが簡単に侵害される
恐れがあります。 iPhone では GPS 情報が consolidated.db というファイルに保存されていることが判明
しました。このファイルは暗号化されておらず、同期操作でデスクトップに転送され、誰でも参照できる
状態でした。これはプライバシーの点で重大な欠陥であり、Apple もすぐに修正を行うと発表しています。
Veracode の Tyler Shields 氏が BlackBerry の位置情報を追跡するスパイアプリのデモを行っていますが 3、
このような機能を悪用したマルウェアが有名人の誘拐に利用されるかもしれません。
Foursquare などのソーシャルネットワークシステムでは位置情報を利用しています。このようなサービ
スを利用するために GPS データの自動共有が必要になるかもしれませんが、自動共有を選択した時点
でプライバシーの保護はないものと考えるべきです 4。プロバイダーがハッキングされて追跡データが流
出すれば、プライバシーは確実に侵害されます。
モバイル端末は、 GPS 機器を搭載していなくても位置情報を保持しています。ネットワークでは端末が
接続している基地局を認識しています。 GPS の位置情報に比べれば正確ではありませんが、ある程度
の誤差（100m 程度）で端末の位置を特定することができます。このデータを利用できるのは OS だけで、
OS の脆弱性を悪用して権限の昇格を行わない限り、アプリケーションからこのデータにアクセスするこ
とはできません。 OS の制御で GPS 機器を無効にすることも可能ですが、このようなネットワークデータ
が存在するため 100% 効果があるとは言えません。
泥棒の追跡
理論的には、端末の GPS を利用すれば盗まれた端末の追跡は可能です。盗まれた端末を追跡する
には GPS データをリモートに記録する必要があります。このような機能が端末に搭載されていれば端末
の追跡は可能ですが、この行為は所有者のプライバシーを侵害することになりかねません。この矛盾
を解決するには、端末所有者を確実に識別する方法が必要です。ユーザーの識別には一般に PIN 番
号やパスフレーズが使用されていますが、これでは不十分です。生体認証が適切な方法でしょうが、
手頃な価格になるまではまだ数年はかかるでしょう。
カメラとマイク
スマートフォンでは、写真や動画を撮影したり、音声を記録することができます。この機能は携帯用ゲー
ム機やタブレットにも搭載されています。これらの端末はソフトウェアで制御されているため、ユーザー
に気付かれずにカメラやマイクを起動させることもできます。
殆どの OS でカメラと録音機能を無効にすることができますが、 OS に存在する脆弱性を悪用すれば、
ハードウェアの制御権限を取得し、ユーザーやその周辺を撮影したり、録音することも可能です。この
ような脆弱性は定期的に見つかり、悪用されています 5。通話内容を記録して別の場所に送信するトロ
イの木馬も確認されています 6。また、捜査当局も犯人が所持するスマートフォンで音声や画像を取得
し、追跡を行うかもしれません。
3.
4.
5.
6.
http://www.veracode.com/blog/2010/02/is-your-blackberry-app-spying-on-you
http://en.wikipedia.org/wiki/Foursquare_(website)
http://www.cs.ncsu.edu/faculty/jiang/GingerMaster/
http://blogs.mcafee.com/mcafee-labs/latest-android-malware-records-conversations
5
レポート
モバイル端末のセキュリティ : 現状と今後
マルチ CPU （マルチコア）の影響
スマートフォンなどの携帯端末は、ユーザーへのサービス提供（画面、キーボード、アプリケーション）
とベースバンド通信（GSM、 3G）の管理を行います。後者はリアルタイムに処理する必要がありま
す。受信または送信データが迅速に処理されないと、通信障害が発生し、機能性が著しく低下します。
この問題を解決するため、端末で 2 つのプロセッサーを使用している場合があります。システムオンチッ
プ（SoC、 System-on-Chip）バンドルとして実装され、 1 つの SoC チップで複数のサブシステムを実行
している場合もあります。今後は、グラフィック処理やセキュリティ用の SoC コアを追加するなど、機
能分割が進むものと思われます。
このような設計では、 CPU のサブシステムが隔離されるため、安全性の点では問題が生じます。 RalfPhilipp Weinmann はベースバンド CPU （HTC の Qualcomm CPU、 iPhone の Infineon）に対する攻
撃に成功しました 7。また、不正な Bluetooth による通信サブシステムへの侵入が、別の CPU （また
は専用コア）で実行されているセキュリティソフトウェアには検知されない可能性があります 8。各 CPU
が個別に攻撃を受けると、検出は非常に困難になります。
その他のモバイル端末
タブレット
現在のタブレットは 2、 3 年前のラップトップよりも強力です。キーボードがないため、テキストの編集、
プログラミング、デザインなどの操作には不向きですが、 Web の閲覧は快適に行うことができます。し
かし、マルウェアの感染源として最も多いのが Web です。マルウェアは、ブラウザーとそのプラグイン
（Acrobat、 Flash、 Java など）の脆弱性を悪用してコンピューターに侵入します。この現象はタブレット
でも同様です。
タブレットを他のモバイル端末と別個に扱う必要はありません。画面のサイズは異なりますが、ソフトウェ
ア、 OS、 CPU は他の端末と同じものが使用されています。セキュリティに関する問題もほぼ同じです。
唯一の違いは、一部のタブレット（東芝 Thrive など）が USB のホストとして機能する点です。このよう
な端末は攻撃を受ける可能性が高くなります。
スマートメディアプレーヤー（MP3、動画）
通常、音楽プレーヤーにはブラウザーが搭載されていないため、マルウェアに感染する機会は大幅に
減少します。しかし、ネットワーク機能が搭載され、プログラミングが可能な端末になると様相は異な
ります。このような環境はマルウェアの攻撃を受ける可能性があります。
重要なデータが保存されていることはないため、音楽プレーヤーは攻撃者にとって魅力的な存在ではあ
りません。音楽や動画は簡単に海賊版を作成できるため、これらのデータを盗み出すマルウェアはほ
とんど使用されません。しかし、デジタル著作権管理（DRM、 Digital Rights Management）による制
限が普及すると、状況は変わるでしょう。音楽、映画、ゲームなどのエンターテイメントを狙う攻撃者
も増えてくると思われます。この攻撃では、 DRM に未対応で価値のあるメディアが保存されている端
末が標的になるでしょう。また、ハードウェアの脆弱性を悪用したり、キー配布時の中間者攻撃（MITM、
man-in-the-middle）で DRM 自体が狙われる可能性もあります。
このような端末が悪用され、コンピューターやネットワークに侵入される可能性もあります。ネットワー
クを介してリモートから侵入を試みるよりも、 MP3 プレーヤーを介してコンピューターに侵入するほうが
簡単でしょう。 LNK の脆弱性を悪用して USB スティックの挿入時に自動的に実行される W32/Stuxnet と
同様の攻撃が発生するかもしれません。メディアプレーヤーは、 USB スティックよりもインターフェース
が使いやすいため、攻撃を受ける可能性は高くなります。
メディアプレーヤーを悪用してマルウェアの検出を回避したり、マルウェアの散布が行われる可能性も
あります。ワームは使用可能なストレージに自身のコピーを作成して拡散を試みます。 USB スティック
と同様に、メディアプレーヤーを介してマルウェアが散布される可能性があります。感染した USB スティッ
クでマルウェアが拡散した事例はよく知られていますが、同様のことがメディアプレーヤーやタブレットで
発生しても不思議はありません。手元にメディアプレーヤーがあれば、コンピューターに接続してみよう
と思うのは自然なことです。
7. http://blogs.mcafee.com/enterprise/mobile/27th-chaos-communications-congress-mobile-security-and-more
8. http://www.technologyreview.com/computing/35094/
6
レポート
モバイル端末のセキュリティ : 現状と今後
携帯ゲーム機
ゲーム機は基本的にコンピューターと同じです。多くのゲーム機がネットワークに対応し、インターネット
接続を行います。任天堂 DS やソニー PSP など、携帯ゲーム機には他のモバイル端末よりも危険な機
能が存在します。これらのゲーム機では、複数のユーザーが参加するゲームに対応するため、デバイ
ス間の直接接続を可能にする P2P 機能が搭載されています。 Cabir ワームが Symbian プラットフォーム
に拡散したように、この接続でプログラムの転送が可能になれば、ワームの実装は非常に簡単です。
P2P 通信がデータ通信に限定されていても、脆弱性が悪用されてリモートからコードが実行されたり、
ウイルスが増殖する可能性があります。
新しいゲーム機にはゲーム以外の機能も搭載されています。 PlayStation Vita には 3G、 Wi-Fi、
Bluetooth、 GPS、カメラ、録音機能が搭載されています 9。ゲーム機とモバイル端末の差はなくなり
つつあります。
端末の多様性
モバイル端末には様々な種類があるため、マルウェアが急速に拡大することはありません。多くの
ハードウェアモデルと OS が存在し、標的が多岐にわたり、攻撃に時間や手間が掛かります。しかし、
ハードウェアとソフトウェアの両面で統合と標準化の動きが加速しています。最近のニュースによると、
Android の次期バージョンである Ice Cream Sandwich （携帯電話と端末の両方に対応する Android
OS）と Windows 8 （マルチタッチスクリーンと ARM CPU に対応）はこの流れを汲んでいます。
デスクトップ PC の Windows のように、標準化が進むと攻撃の対象や規模が一気に広がります。
多様性のある環境では、大規模な攻撃が発生することはありませんが、標的を限定した攻撃は可能で
す。標的が限定されるため、攻撃者は有名人を直接攻撃したり、マルウェアの潜伏期間を長くして見
返りを増やそうとします。この攻撃では、ステルス機能（ルートキット）だけでなく、検出や駆除を回
避する技術が重要な役割を果たします。
これまでの環境
モバイル端末は当初からマルウェアの攻撃対象になっています。 Symbian OS に対する概念検証から
感染が始まり、その後、マルウェアによるリスクが急速に拡大しました。
Symbian マルウェア
スマートフォンが最初に登場したのは 1996 年から 1997 年で、Nokia と Ericsson が開発しました。スマー
トフォンとして販売されたのが 2000 年頃で、まもなく Symbian OS が標準装備になりました。当時は殆
どの携帯電話にこの OS が搭載され、ピーク時には 3 億 5 千万台以上の端末に Symbian がインストー
ルされています。
モバイル端末を攻撃する最初のマルウェアは Symbian OS の脆弱性を利用しました。 Symbian 以前は
Palm OS のマルウェアがわずかに存在する程度です 10。
Symbian 端末のソフトウェアは、ソフトウェアインストールスクリプト（SIS）パッケージとして提供されます。
これらのパッケージは、インターネットからのダウンロード、電子メール、 SMS、 Bluetooth、赤外線、
SD カード、 PC 接続、無線などの手段で配布されます 11。
最初にウイルスが報告されたのは 2004 年で、 Cabir という Symbian ワームが Bluetooth 経由で散布
されました 12。 Cabir の後、多くのマルウェアファミリーが出現しました。その大半はトロイの木馬です。
2004 年以降、数百種類のマルウェアを確認しましたが、その殆どがインターネット経由で拡散してい
ます。
9.
10.
11.
12.
http://en.wikipedia.org/wiki/PlayStation_Vita
http://www.mcafee.com/threat-intelligence/malware/default.aspx?id=98801
http://www.developer.nokia.com/Community/Wiki/Deploy_SIS_file_on_hardware
http://www.f-secure.com/weblog/archives/archive-012006.html
7
モバイル端末のセキュリティ : 現状と今後
レポート
J2ME マルウェア
J2ME （Java ME、 JME ともいう）は、モバイル端末と組み込みシステム用に開発された Java ベースの
プログラミング環境です 13。一時期、この環境を使用する端末は 20 億を超えていましたが、現在で
は J2ME の代わりに Android などの最新の OS が使用されています。 Android のコア部分は、 J2ME
と同じく Java をベースにした仮想マシンです。
J2ME は 2006 年から 2010 年にかけて急速に広まりました。これに伴い、このプラットフォームを攻撃
するマルウェアも増加しています。この中で特に目立ったマルウェアは、高額通話料金の番号に電話
をかけて SMS を送信するトロイの木馬です 14。 J2ME マルウェアの数が Symbian マルウェアの数を超
える時期もありました 15。多くの Java マルウェアは特定の言語を使用するトロイの木馬で、ロシア語の
ものが主流でした。ロシアの電気通信業界に厳しい規制がなかったことが原因のようです。
最初に見つかった Android マルウェア（FakePlayer.A）は、高額通話料金の SMS を送信する J2ME
のトロイの木馬と同じでした。既存のコードを Android 用に変更し、再度コンパイルしたようです。
Android
Android について少し詳しく見てみましょう。 Android は、モバイル端末用の OS の中で急速に普及し
ている OS で、 Android を攻撃するマルウェアも数多く見つかっています。
ユニークな存在
Android は市場でユニークな位置を占めています。この OS は無料で提供されているため、費用の点
で魅力的です。ベンダーや携帯電話会社は、 Android ベースの端末を販売することでより多くの収益
を得ることができます。この OS はオープンソースで、新しい端末に合わせて簡単にカスタマイズできま
す。 Android が市場を席巻しても不思議はありません。
Android は急速に成長したスマートフォン用の OS です。最初にリリースされたのは 2008 年で、すで
にマーケットで第一位になっています。図 1 は、 2010 年末時点での OS のマーケットシェアを表してい
ます。
その他
3%
Windows
Mobile
3%
RIM
14%
Android
33%
Apple
16%
Symbian
31%
図 1: Android OS はわずか 4 年でスマートフォン市場でトップの OS となる。
13. http://en.wikipedia.org/wiki/Java_Platform,_Micro_Edition
14. http://www.securelist.com/en/analysis/204792080/Mobile_Malware_Evolution_An_Overview_Part_3
15. http://www.securelist.com/en/analysis/204792080/Mobile_Malware_Evolution_An_Overview_Part_3
8
モバイル端末のセキュリティ : 現状と今後
レポート
Android の競合製品も負けてはいません。 Android への対抗策として法的な障壁で囲い込みが始まり
ました 16。
Android は、モバイル端末市場でシェアを占めているだけではありません。この四半期は、新しい
マルウェアの数でも Symbian を上回りました。
J2ME
8%
その他
13%
Symbian
47%
Android
32%
図 2: マルウェア作成者の間で最も人気があるモバイル OS は Symbian だったが、この点でも Android の勢いが優っている。
図 2 で分かるように、過去からの累計では Symbian のマルウェアが Android のマルウェアの数を上回っ
ています。しかし、直近の四半期に限ると Android がトップになっています。
BlackBerry
6%
その他
4%
Symbian
7%
Java ME
20%
Android
63%
図 3: 2011 年第 2 四半期の結果。 Android マルウェアの量は他のモバイル OS を大きく引き離している 17。
このようにマルウェアが急増した背景には配布方法の変化があると思われます。これまで、ワームは
端末間で拡散を試みました。 Cabir ワームは Bluetooth 経由で拡散しました。しかし、この方法では狭
い範囲内に大勢のユーザーが存在し、転送に同意しなければなりません。あるいは、 Nokia のサイト
（あるいは、 Symbian プログラムを配布する別のサイト）からマルウェアをダウンロードする必要があり
ました。
16. http://googleblog.blogspot.com/2011/08/when-patents-attack-android.html
17. http://www.mcafee.com/us/resources/reports/rp-quarterly-threat-q2-2011.pdf
9
レポート
モバイル端末のセキュリティ : 現状と今後
殆どの感染はアプリケーションマーケットやストア経由で発生しています。世界的な Android マーケット
プレイスだけでなく、特定の国でのみ有名なサイトもあります。最近は Android マルウェアが数多く出
現しています（詳細については McAfee Virus Information Library18 を参照）。
セキュリティモデル
Android のセキュリティモデルは簡単です。インストール時にアプリケーションが必要なアクションのリス
トを宣言します 19。ユーザーはこの要求を承認または拒否します（選択された権限は拒否できません )。
承認すると、インストール後に宣言された制限が実施されます。拒否すると、インストールが終了します。
インスールの実行後やランタイムに権限の制御（拒否または承認）を行うことはできません。
このモデルは次の 3 つの問題点があります。
•
正しい選択を選ぶかどうかはユーザーによる。技術に詳しい人物が見ても、権限説明の多くは意味
不明なものが多い。
•
プログラムが必要以上の権限を要求する。多くのユーザーはこのような例外に慣れている。
•
プログラムが本当に必要であればユーザーは権限を承諾してしまう。攻撃者はここに目を付け、ソー
シャルエンジニアリングによる攻撃を行う。
セキュリティ API
Android は端末管理用の API を提供していません。パスワード /PIN 番号ポリシーを管理し、リモート
からの消去を実行する必要があります 20。このセットは非常に限定的で、セキュリティ製品の構築には
役に立ちません。
Android が OS コアにある汎用のセキュリティ API 標準セットをサポートすることは非常に有効です。カー
ネルメモリーへのアクセスを許可し、ファイル I/O やネットワークデータフローを簡単に傍受できます。
このようなアクセスが可能なアプリケーションには特別な方法で署名を行う必要があります。また、 OS
API に暗号認証を組み込むと、セキュリティアプリケーションは OS から受信したデータが改ざんされて
いないことを確認し、信頼することができます。これにより、 Android 端末でのルートキットの問題を軽
減し、 MITM （man-in-the-middle）攻撃を阻止することができます。
弱点
DefCon 2011 で、 Android の設計上の欠陥がいくつか報告されました 21。
•
API の説明に矛盾があったり、説明が欠けている部分があるため、開発者が間違った選択を行う可
能性があります。これは、アプリケーションのセキュリティに影響を及ぼします。 Android 2.2 では、
1,207 の API の中で 78 しか文書化されていません。また、この中の 6 つは記述に誤りがあります。
•
Android でのプロセス間メッセージングは明示的（受信者の名前を指定）または暗黙的（特定の対
象のないカスタムメッセージ、my.special.action など）で行います。このため、マルウェアによるメッセー
ジの盗聴や改ざんが可能になり、情報窃盗や DoS 攻撃が実行される可能性があります。
•
ストレージ（SD カード）は誰でも読み取り可能です。ファイルとフォルダー名は、これらを作成したア
プリケーションを削除した後や端末のデータを完全に消去した後も残ります。
•
必要以上の権限を要求するアプリケーションが一般的です（約 31%）。これは、必要最低限の権限
という原則に違反しています。この現状には次の原因があると考えられます。
» 必要な API と権限に関する記述がない。あるいは正確でない。
» 中間的なコードが残っている。開発または品質テスト後にデバッグコードが削除されていない。
» フォーラムでエラーが広がる。多くの開発者が作成中のソースコードを共有している。作成者が後
でコードのエラーを訂正しても、コピーされた他の部分には反映されないことが多い。
18. http://home.mcafee.com/VirusInfo/VirusProfile.aspx?key=501748, http://home.mcafee.com/VirusInfo/VirusProfile.aspx?key=509500,
http://home.mcafee.com/VirusInfo/VirusProfile.aspx?key=522281, http://home.mcafee.com/VirusInfo/VirusProfile.aspx?key=518925,
http://home.mcafee.com/VirusInfo/VirusProfile.aspx?key=501599, http://home.mcafee.com/VirusInfo/VirusProfile.aspx?key=501639
http://home.mcafee.com/VirusInfo/VirusProfile.aspx?key=527859
19. http://developer.android.com/guide/topics/security/security.html
20. http://developer.android.com/guide/topics/admin/device-admin.html
21. Y.Tsepenyuk O’ Neil, E.Chin、「Seven Ways to Hang Yourself with Google Android」
（Google Android をハングさせる 7 つの方法） DefCon 19, Las Vegas 2011
10
レポート
モバイル端末のセキュリティ : 現状と今後
サンドボックスで実行される Android アプリケーションの動作をまとめた BlackHat 2011 のレポートによ
ると、アプリケーションの 8.4% は IMEI データを暗号化せずに送信していました 22。殆どのモバイル端
末は個人で使用されているため、 IMEI は個人を識別する情報になります。同じレポートは、アプリケー
ションの約 22% がインストール時に IMEI へのアクセスを要求していると報告しています。この 22% と
8.4% の違いは、必要以上の権限を要求するアプリケーションが多いことを裏付けています。
Dalvik 仮想マシン
Android ソフトウェアは APK パッケージで提供されます。このパッケージは、必要な権限が記述された
マニフェストです。インストール時に Android アプリケーションが特定のデータまたは操作に対するアク
セスを明示的に要求しない限り、アクセス権を取得することはありません。インストール後、アプリケー
ションは Java ベースの Dalvik JIT 仮想マシン（VM）で実行されます。
Dalvik VM では Android の NDK で作成されたネイティブコードを実行できるため、 OS 経由でプロセス
の分離が行われます。 VM だけでは分離は実現できません 23。すべての Android アプリケーション
（Dalvik アプリケーション、ネイティブ、混在）に同じセキュリティ制限があります。
Microsoft Security Intelligence Report - Volume 11 によると、 2010 年第 3 四半期から 2011 年第 2
四半期までの間で Windows に対する攻撃で最も多かったのが Java エクスプロイトでした 24。 Java の
サンドボックスは元々安全なものではありません。一部のエクスプロイトは Dalvik の攻撃にも応用でき
ます。このレポートには、 Lotoor という Android のエクスプロイトが PC 上で頻繁に検出されるという興
味深い現象も報告されています。 Microsoft は、ユーザーが感染したアプリケーションをダウンロードし、
モバイル端末に転送したためと原因を分析しています。
アプリケーションの署名
Android アプリケーションには署名が必要ですが、認証機関の認定は義務付けられていません。このた
め、多くのアプリケーションが自己署名による証明書を使用しています。この署名により、ソフトウェア
の提供元を追跡し、提供元の信頼性を判断することができます。しかし、マルウェアの追跡には有効
な手段にはなりません。アプリケーションの署名は無料で生成できます。また、新しい署名には信頼
性に関する情報が含まれていません。
Windows の信頼されたデジタル署名 (Authenticode) のように、自己署名であっても、信頼できる
Android アプリケーション提供元の証明書には特定の値が含まれています。この情報はマルウェアの
作成者にとっても有効な情報です。この情報を盗み出せば、信頼された提供元の名前をマルウェアに
追加し、マルウェアを短時間で広範囲に散布することができます。多くのデジタルキーを盗み出し、そ
の中で最も有名なキーを標的型攻撃に使用すれば、攻撃の成功率は高くなります。
多くのセキュリティソフトウェアベンダーが「IEEE Software Taggant System」に参加しています 25。
Taggant （タガント）はプラスティック爆弾などの識別用に付加される化学薬品で、製造元の工場の特
定や、爆発物の粒子分析に役立ちます。 IEEE Taggant System は、暗号化された強力なマーカーを
ソフトウェアの作成時に自動的に追加することで、プログラムの製造元を追跡できるようにするもので
す。このシステムの利点はセキュリティソフトウェアのスキャン時間を短縮できる点にあります。開発者
の利点としては、 Authenticode の署名と異なり、このタガントが無料で提供される点が挙げられます。
不正なソフトウェアの提供元と信頼できる提供元を区別するには、このシステムを開発者のツールに統
合する必要があります。 iOS や Android ではアプリケーションの署名が必須になっているので特別な効
果は期待できませんが、他の OS の場合には、環境に安全評価機能を組み込める利点があります。
22.
23.
24.
25.
Neil Daswani、『Mobile Malware Madness, and How to Cap the Mad Hatters』（モバイルマルウェアの脅威と対策）
http://developer.android.com/sdk/ndk
http://www.microsoft.com/security/sir/default.aspx
http://standards.ieee.org/news/2011/icsg_software.html,
https://media.blackhat.com/bh-us-11/Kennedy/BH_US_11_KennedyMuttik_IEEE_Slides.pdf
11
モバイル端末のセキュリティ : 現状と今後
レポート
iOS、 Windows Phone 7 など
Apple の iOS は Android の最大のライバルです。現在のところ、 Apple は端末の保護に対して十分な
対策を行っているようです。このレポートの執筆時点で、ジェイルブレイクした iPhone のマルウェアは
1 件も報告されていません。ジェイルブレイクを行うと、認定されていないアプリケーションを iPhone で
実行することができますが、署名のないアプリケーションも実行可能になるため、危険な状態となります。
iPhone のセキュリティリスクについては次章以降で触れることにします。
Android と iOS 以外にも、今後重要性が増すと思われるオペレーティングシステムがあります。これら
の OS は現在開発中のため、現段階でセキュリティ機能を評価することは差し控えますが、注目すべ
き点をいくつか挙げておきます。
•
Windows Phone 726。 Nokia はこの OS を今後の端末で採用することを発表しました。 IDC の調査では、
Windows Phone は市場の約 20% を占め、Apple と RIM の OS を凌ぐ勢いになると予測されています。
•
Samsung の Bada27 は、現時点でのマーケットシェアは小さいものの、 Samsung は Tizen プロジェクト
の推進で Intel と業務提携を締結しました 28。これは MeeGo を引き継ぐものとなります 29。
•
WebOS30
•
クラウドベースの OS。 Google Chrome OS など 31。
エコシステムの現状と今後
次に、モバイル端末が動作する環境について見てみましょう。端末のセキュリティは、ソフトウェアの
安全性だけでなく、端末が機能するエコシステム全体で評価されます。セキュリティという観点では、ハー
ドウェア、 OS （root などの特権で実行されるアプリケーションを含む）、 OS の更新プロセス、端末が
アクセスする外部リソース（アプリケーションストアなど）の安全性を検討する必要があります。
エコシステムのセキュリティ
その他
6%
BlackBerry
13%
Android
44%
iOS
17%
Windows
Phone 7/
Windows Mobile
20%
図 4: IDC が予測する 2015 年のモバイル OS の出荷状況（2011 年 6 月の調査結果より）
32
OS とセキュリティ機能を評価するだけでは現在のスマートフォンのセキュリティを適切に評価することは
できません 33。モバイル端末は接続を前提に設計されています。複数のネットワーク内で動作し、そ
れぞれのネットワークでリスクが発生します。また、インターネットからプログラムをダウンロードします。
26. www.microsoft.com/windowsphone/ja-jp/default.aspx
27. http://en.wikipedia.org/wiki/Bada_(operating_system)
28. http://en.wikipedia.org/wiki/Tizen
https://www.tizen.org/
29. https://meego.com/, http://en.wikipedia.org/wiki/MeeGo
30. http://en.wikipedia.org/wiki/WebOS
31. http://en.wikipedia.org/wiki/Google_Chrome_OS
32. http://www.idc.com/getdoc.jsp?containerId=prUS22871611
33. http://www.symantec.com/content/en/us/about/media/pdfs/symc_mobile_device_security_june2011.pdf
12
レポート
モバイル端末のセキュリティ : 現状と今後
環境全体の比較が必要です。
•
Android OS と Android Market
•
iOS と Apple の App Store
Android の場合は状況が複雑です。ハードウェアメーカーは Google からオープンソースのコアを取得
して独自の変更を行っています（セキュリティ関連の変更も含む）。コアの OS 部分以外に、独自に保
守しているコード部分が数多く存在しています。 Android コアに対する修正を OS のカスタム部分に反映
しなければならないため、各部分で遅延が発生し、メーカーが OS の更新を完了するまでの時間は必
然的に長くなります。 Android Ice Cream Sandwich （AICS）のリリースではこの問題が解決されるかも
しれませんが、 AICS が実際に普及するまでは分かりません。
モバイル端末のエコシステムで重要な要素はアプリケーションストアとソフトウェア更新の提供元でしょう。
アプリケーションストア
スマートフォン用のソフトウェア配布はデスクトップの場合と大きく異なります。モバイル端末のユーザー
は、インターネット経由で特定のベンダーのマーケットプレイスに接続します。現在ではモバイル端末
のユーザーを特定の GSM/3G ネットワークに固定できるので、マーケットへの接続は比較的簡単です。
ベンダーはユーザーを自社のマーケットプレイスに限定することで報奨金を受け取っています。これは、
セキュリティの面でも望ましいことです。ソフトウェアの提供元が 1 つになれば、プログラムの検査や不
要なコンテンツの削除も簡単になります。
マーケットプレイスの信頼性を保証するため、プロバイダーはアプリケーションにデジタル署名（実際は
DRM の形式）を付ける必要があります。署名を付けないとコンテンツ（ソフトウェアを含む）の共有が
簡単になり、著作権侵害に対するプロバイダーの対応が疑われます。これは Apple で行われている
手法で、 Apple で署名のないプログラムを実行するにはジェイルブレイクが必要です。
スマートフォンのベンダーは自分たちが安全なプロバイダーと評価されることに努力しています。このよ
うな競争があると、モバイル端末を少しは安心して使用できるかもしれません。
保護されたドライブを用意してソフトウェアを一元的に配布し、安全なエコシステムを構築するには、
オンラインストアに投稿されるアプリケーションをフィルタリングし、マルウェアの量を制御する必要が
あります。ソフトウェアの配布が分散化されている場合、このような制御はほぼ不可能です。しかし、
攻撃者や犯罪者は短時間で新しい環境に順応してしまいます。
事後対応か事前対策か
モバイルソフトウェアの殆どは Apple の App Store と Google の Android Market から配布されています。
しかし、両者のポリシーとフィルタリングはいくつかの点で大きく異なっています。
•
Apple の厳格な一元配布環境で新しいアプリケーションを取得する方法は次のとおりです。
» App Store からダウンロードする
» iOS モバイルデバイス管理（Apple の承認が必要） 34。正規の企業はこの方法でソフトウェアの配
布が可能。
• Google は Android Market でコンテンツを管理し、提供しています。ここからのダウンロードが一般
的ですが、インターネット上の他のマーケットからアプリケーションをダウンロードしたり、ブラウザーを
使用して URL から APK をダウンロードすることもできます。
Apple Store は厳しく管理され、少なくとも現時点では Google よりも安全です。 Android でのソフトウェ
ア配布は制約が厳しくないため、マルウェアの被害を何度も受けています。たとえば、 2011 年春に発
生した事件では、 DroidDream に感染した 50 以上のアプリケーションがダウンロード可能な状態になっ
ていました 35。このアプリケーションは、端末から情報を盗み出し、司令サーバーからの命令を待機し
ます（これは通常のボットネットの動作です）。 DroidDream は人気のあるアプリケーションマーケットを
狙った最初のトロイの木馬です。この事件で、 Google は 50 以上の不正なアプリケーションを Android
Market から削除しています。
34. http://www.apple.com/ipad/business/integration/mdm/
35. http://home.mcafee.com/VirusInfo/VirusProfile.aspx?key=399522
13
レポート
モバイル端末のセキュリティ : 現状と今後
Apple の方法は事前対策型で、予防に重点を置いています。 Google の方針は、アプリケーションの
作成を促進させ、問題は発生時に対応するというもので、事後対応型といえます。 Google の方法では、
様々なアプリケーションが大量に作成されることになります。しかし、セキュリティの観点では、マルウェ
アの作成者にとって最高の環境を用意していることになります。
オンラインストアに存在するマルウェアの量はフィルタリングの品質によって変わります。このフィルター
には品質検査とセキュリティ検査も含まれます。攻撃者もそれぞれの環境で費用対効果を考えます。
つまり、どのくらいの時間と費用をかければマルウェアがフィルターを通過するのかを検討します。
ソフトウェアの多様性という点では、 Google は Apple をすぐに追い越すでしょう。しかし、選択肢が増
えたとしても、ユーザーは安全な環境を選びます。この 2 つの要件を同時に満たすことは簡単なことで
はありません。エコシステムの安全性を維持するため、プロバイダーは多額の投資が必要になるかも
しれません。参加者が少なければ、大手プロバイダーとの競争は激しいもになります。効果的なソフト
ウェアフィルターを実装するには、運用費用に更なる投資が必要になります。
インターネットマーケットに対する攻撃
アプリケーションストアは、検索エンジンの悪用と類似した方法で操作される可能性があります。検索
エンジンの悪用では、検索結果の上位に不正な URL が表示されます 36。アプリケーションストアに対
する攻撃では、選択したアプリケーションの評価を不正に引き上げ、多くのユーザーにダウンロードさ
せようとします。正規のソフトウェアにもマルウェアにも同じ方法が使用できるため、マルウェアの作成
者がアプリケーションの評価を操作したのかどうか殆ど区別できません。
正規のアプリケーション（通常は人気のあるアプリ）にマルウェアや広告を追加して再度アップロードし
（別のマーケットプレイスの場合もある）、ユーザーにダウンロードさせる攻撃がいくつか確認されていま
す 37。再投稿の前にアプリケーションの ID （名前 / アイコン / 作成者）を変更する場合もありますが、
攻撃者が元のソフトウェアを故意に変更せず、信頼できる提供元から配布されているように見せかける
こともあります。また、デジタル署名と元の作成者の ID を維持して、そのソフトウェアを不正なパッケー
ジに組み込んでいる場合もあります。
また、役に立つアプリケーションにマルウェアの機能（ユーザーのデータを盗み出す情報窃盗機能など）
が埋め込まれる可能性もあります。有料のアプリケーションがこのような攻撃の対象になるかもしれま
せん。この場合、マルウェアの作成者はアプリケーションの料金と盗まれたデータの両方から利益を得
ることになります。アプリケーションストアのフィルターを通過し、セキュリティソフトウェアにも検知されず、
攻撃がユーザーに気付かれなければ、マルウェアの潜伏期間は長くなります。たとえば、利用価値
が高い場合にだけ、盗み出したデータを転送するようにすることも可能です。 App Store のアプリケー
ションの中にも不正な機能が埋め込まれたものがあるかもしれません。 Apple がジェイルブレイクされて
いない iPhone の保護に成功している状況を見ると、 App Store に対する攻撃にはこの方法が使用され
る可能性が高いでしょう 38。
App Store の構造ではマルウェアの大量配布は難しいでしょうが、標的型攻撃は可能です。隠し機能
のあるアプリケーションをリリースしてアプリケーションのインストールを促し、ユーザーがインストールし
た後で不正な隠し機能を起動する方法も考えられます。このような起爆装置付きのソフトウェアを App
Store から排除することは非常に困難です。
App Store に対する攻撃が実行不可能なほど困難になっても（この状況はまずないでしょうが）、正規
の開発会社のデスクトップに侵入し、開発中のソフトウェアを改ざんすれば、正規のアプリケーションに
マルウェアを挿入することができます。このような攻撃は殆ど発生しないでしょうが、攻撃に成功すれば、
マルウェアを短時間で広範囲に散布することができます。
攻撃者は Web の脆弱性を悪用したり、アプリケーションストアでわずかなマルウェアを散布することで
検出を回避しようとします。これまでこの戦法は効果的でした。モバイル環境でも成功しないとは言い
切れません。しかし、マーケットプレイスには複雑な攻撃が実行されています。マーケットからすべて
のマルウェアがなくなるまでは、現在の手法が引き続き使用されるでしょう。
36. http://en.wikipedia.org/wiki/Search_engine_optimization
37. http://home.mcafee.com/VirusInfo/VirusProfile.aspx?key=363542
38. http://blogs.mcafee.com/mcafee-labs/get-out-of-jail-not-so-free
14
レポート
モバイル端末のセキュリティ : 現状と今後
DRM とリモート制御
人気のあるモバイル OS ではアプリケーションにデジタル署名を付ける必要があります。デジタル署名
により、ソフトウェアの配布が制限されますが、実際には映画などのエンターテイメントの配布を制限す
る DRM が使用されています。マルウェアの大量発生後、 Google は Android に組み込まれているア
プリケーションのリモート削除機能を実行し、インストールされているトロイの木馬を消去しました 39, 40。
Google は、不正な活動を阻止し、修正を行うために複数の対策を用意しています。
•
Android Market からアプリケーションを削除する。 Google のストアのみが対象で、他社のマーケット
からは削除できません。
•
インストール済みのアプリケーションをリモートから終了する。
•
感染したデバイスに特別な Android セキュリティツールをインストールする。
•
不正なアプリケーションに関連する Google アカウントをブロックする。
Google がこれらの対策を誤って行う可能性は否定できません。一部では、 Google アカウントの消去
で関連するデータがなくなってしまうことを懸念する声もあります 41。アプリケーションの誤認で Google
がこのアプリケーションに関連する個人のアカウントをブラックリストに登録したり、削除するかもしれま
せん。このような処理が行われた場合、セキュリティソフトウェアの誤検知以上の影響があります。
Apple はアプリケーションのリモート削除を実行していません。プライバシーの問題からこの機能の実行
を避けていることは容易に想像できますが、 iOS にもリモート終了機能が搭載されています。この機能
は iOS のジェイルブレイクルーチンを作成した開発者が発見しています。
開発者
アプリケーションストアのソフトウェアにはデジタル署名が必要です。ソフトウェアを作成する開発者も
エコシステムの一部で、マーケットとは密接な関係になります。
アプリケーションストアでのソフトウェアと開発者の評価と順位は、インストールするアプリケーションを
選ぶときの基本的な基準となります（外部のアプリケーション評価サービスも同様です）。評価も製品
の一部であり、マルウェアの作成者は攻撃の対象としています。評価を取引するマーケットが出現する
かもしれません。
結果として開発者も攻撃の対象になります。最近報告された Symbian フォーラムに対する攻撃はこの
一例といえます。この攻撃では、開発者の認証情報が大量に盗まれました 42。複数のモバイルプラット
フォームでソフトウェアを作成している開発者もいますが、この漏えい事件では Symbian だけでなく、
Android や iOS も標的になっています。複数のサイトで同じログイン情報を使用している開発者もいる
でしょう。盗まれた認証情報は正規のモバイル開発者の評価を改ざんするために使用される可能性が
あります。
その他
HTML5 のリリースは、現在 Apple と Google が支配的なアプリケーションストアの環境を変えるかもし
れません 43。この新しい HTM 規格では、特別なアプリケーションを使用しなくても、ブラウザーで動画
や音声などのコンテンツを配信できます。また、 HTML5 では OS 固有のユーザーインターフェース要素
をアプリケーションで使用できるので、ネイティブアプリケーションの境界がなくなったように見えます。
一元化されたアプリケーションマーケットプレイスではなく、 HTML5 対応のブラウザーでコンテンツの配
信が可能になれば、使用料を払う必要がなくなるため、一部の開発者にとっては経済的なメリットがあ
るかもしれません 44。今後は、カスタムアプリケーションではなく HTML5 でコンテンツを配信する傾向
が強まるかもしれません。
39.
40.
41.
42.
43.
44.
http://android-developers.blogspot.com/2010/06/exercising-our-remote-application.html
http://blogs.mcafee.com/enterprise/mobile/google-tool-cleans-up-mobile-malware-dream
http://www.itworld.com/it-managementstrategy/187543/when-google-kills-your-account-what-happens-your-android-phone
http://www.infosecurity-us.com/view/20396/nokia-shuts-down-developer-site-after-members-data-was-compromised/
http://en.wikipedia.org/wiki/HTML5
http://www.zdnet.com/blog/btl/amazons-cloud-reader-beginning-of-the-html5-surge-vs-apples-app-store-vig/54587?tag=nl.e539
15
レポート
モバイル端末のセキュリティ : 現状と今後
変化と予測
この章では、不正なソフトウェア開発の現状について概観します。また、モバイル端末の特殊性で攻
撃者にどのような変化が起きているのか見ていきます。
動機は金銭
McAfee Labs が確認しているマルウェアの大半は金銭的な目的で使用されています。マルウェアで金
銭を稼ぐ方法は様々です。残念ながら、モバイル端末もその一つの手段になりました。
MITB （Man-in-the-browser）攻撃
PC のマルウェアで最も悪質な攻撃の一つは、オンラインバンキングセッションでブラウザーから口座情
報を盗み出したり、改ざんする攻撃です。この攻撃で使用されたトロイの木馬の中には、不正なトラン
ザクションをユーザーから完全に隠してしまうものもあります。スマートフォンでもブラウザーに簡単に侵
入できれば、新たな攻撃手口として利用されることは間違いありませんが、実際はそうではありません。
iOS と Android は強固なプロセス分離を行っています。 OS 自体に侵入しない限り、マルウェアを root
権限で実行することはできません。ブラウザーの通信に侵入することも、他のプログラムで改ざんする
こともできません。
マルチプラットフォームに対応する脅威（Zeus と SpyEye）
オンラインバンキングに対するセキュリティ対策が搭載されているモバイル端末もあります 45。このセキュ
リティ機能は次の 2 つの目的で使用されます。
•
追加のログイン情報を入力する（二重認証）
•
取引情報または口座残高を SMS などで顧客に通知する
2010 年、 Android を攻撃する Zitmo トロイの木馬が二重認証の攻撃に成功しました 46。 Zitmo はモバ
イル環境の Zeus で、銀行口座を狙う PC 版の Zeus トロイの木馬ファミリーを拡張したものです。
2011 年 9 月には Android 用の Spitmo トロイの木馬（モバイル環境の SpyEye）が出現し、二重認証
を攻撃しました。これは、銀行口座を狙う PC 版のトロイの木馬ファミリーの一つです 47。
高額通話料金の回線に SMS を送信
マルウェアでモバイル端末を攻撃して金銭を稼ぐ最も簡単な方法は、高額通話料金の電話番号に発信
したり、ショートメッセージ（SMS）を送信する方法です。このような攻撃が頻繁に発生せず（たとえば、
夜間に週 1 度）、痕跡が消されていれば（ログの消去やルートキットの検出回避機能の使用）、長期
間ユーザーに気付かれないかもしれません。
プロバイダーが高額通話料金の番号を使用する会社を記録し、金融取引を記録していれば、このよう
な活動を追跡するのは比較的簡単なはずです。しかし、現実はそれほど簡単ではありません。多くの
通話とメッセージは海外を経由していますが、このような不正行為を重視していない国もあります。特
に、このような攻撃が収束している国ではこの傾向はいっそう強くなります。ロシアなどの国では非常
に多くの不正な SMS が J2ME で発生していました。このようなマルウェアが蔓延するかどうかはユーザー
に気付かれずにメッセージを送信できるかどうかによって決まります。 Android は iOS よりも危険です。
Android の権限はインストール時に割り当てられ、動的に制御できません。この機能を管理するには
App Alert などのツールを使用して権限の監査を行う必要があります 48。
Microsoft Windows 8 はモバイル端末と SMS をサポートするようです。詳細は不明ですが、 PC 用の
マルウェアが Bluetooth 端末を経由して SMS を送信する可能性は否定できません。発信を行う可能性
もあります。この点については早急に調査を行う予定です。
近距離無線通信
モバイル端末で近距離無線通信（NFC）の決済を行うには、特別なソフトウェアが必要です。 NFC の
範囲は数センチ程度です。
45. http://blogs.mcafee.com/mcafee-labs/mobile-reunion-hackers-and-banks
46. http://blogs.mcafee.com/mcafee-labs/dissecting-zeus-for-android-or-is-it-just-an-sms-spyware,
http://home.mcafee.com/VirusInfo/VirusProfile.aspx?key=290717
47. http://blogs.mcafee.com/mcafee-labs/spitmo-vs-zitmo-banking-trojans-target-android
48. https://market.android.com/details?id=com.mcafee.mobile.privacy
16
レポート
モバイル端末のセキュリティ : 現状と今後
NFC の不正利用を防止するには次の 2 つの方法があります。
•
取引額を制限する。英国では NFC での取引額の平均は£ 5 未満です。現在のレートで約 600 円未
満です。
•
NFC 専用プロファイルをブロックする。盗難カードの使用時には PIN 番号、署名、識別情報の入力
を要求する。
空港、駅、映画館、スタジアムなどの混雑した環境で NFC の範囲を拡大する特殊な機器が開発さ
れる可能性もあります。スキミング目的で有効期間の短いアカウントが使用される可能性もあります。
NFC 決済、クレジットカード、電子ウォレット、ビットコインに対応する機器が増えれば、このような攻
撃はすぐにでも発生するでしょう。
多くの携帯電話に銀行関連のデータが保存されています。データ自体が保存されているだけでなく、
オンラインバンキングのログイン情報が記録されている場合もあります。電子ウォレットが普及すれば、
ウォレットから金銭を盗み出す攻撃が増えることは確実です。電子ウォレットのセキュリティリスクは、
少なくとも PIN 番号対応のクレジットカードと同等になるでしょう。端末のソフトウェアを介して別の攻撃
が実行できるため、さらに状況は悪化するかもしれません。
オンライン通貨であるビットコインに対応した Android アプリケーションがすでに登場しています。このよ
うな仮想通貨は NFC などで使用することができます 49。 QR コードを利用した取引にビットコインが使用
される可能性もあります 50。
口座データやオンライン通貨の消失は所有者にとって大きな被害となります。モバイル端末に強力な
データ窃盗防止（DLP）機能を搭載し、リスクを回避する必要があります。 DLP ソフトウェアは、他の
セキュリティ対策で保護されているコンピューターが侵入された場合のセーフティネットとして利用されて
います。この意味では、被害を最小限に抑えるツールといえます。
企業秘密などのデータは非常に価値のあるものですが、すぐに換金できるものではありません。情報
の買い手を慎重に探す必要があるだけでなく、大きなリスクを伴います。ビットコインなどの資産は追
跡が非常に難しいため、攻撃者にとっては魅力的な存在です。盗み出したビットコインを手に入れる
ために従来のような「運び屋」は必要ありません。このような仮想通貨が普及すれば、仮想通貨の
盗難事件は増えるでしょう。
接続性
スマートフォンの接続を保護するセキュリティを突破できれば、マルウェア作成者は非常に多くの攻撃
手段を手にすることになります。ここでは、モバイル端末の接続性について検討してみましょう。
フェムトセル
フェムトセルは 10m から 30m の範囲の通話エリアを提供する小型携帯基地局で、モバイルネットワーク
を安価で拡張できます 51。フェムトセルは家庭や小規模なオフィス向きです。通常、フェムトセルは
Ethernet コネクタと電源プラグを備えた小型の装置で、インターネットを介して携帯電話会社に接続しま
す。フェムトセルは、大きな基地局からの電波が届かない場所や追加の基地局の設置にコストがかか
る場合に使用できるので、携帯電話会社にとって便利な存在です。また、フェムトセルの販売でも収
入を得ることもできます。
この他に次のような通話エリアがあります。
•
マクロセル : 2km 未満
•
ピコセル : 200m 未満
•
フェムトセル : 約 10m。 AT&T では、この通話エリアの製品をマイクロセルと呼んでいます。
残念ながら、フェムトセルには重大なセキュリティリスクが伴います。フェムトセルは簡単に手に入る小
型携帯基地局です。価格は $ 100 から $ 200 で、リバースエンジニアリングが可能です。
49. http://www.bitcoin.org, http://en.wikipedia.org/wiki/Bitcoin
50. https://market.android.com/details?id=de.schildbach.wallet
51. http://en.wikipedia.org/wiki/Femtocell
17
レポート
モバイル端末のセキュリティ : 現状と今後
携帯電話会社のインフラとインターネット（TCP/IP）経由で接続するため、セキュリティ対策が万全でな
ければ、簡単に悪用されてしまいます。たとえば、自宅や事務所の近くにハッキングされたフェムトセ
ルを設置し、すべてのモバイル通信に MITM 攻撃を仕掛けることができます。また、この通話エリア
に接続する端末の通話と SMS を盗聴することができます。
セキュリティリスクを回避するためか、一部の携帯電話会社はフェムトセルの提供を行っていません。
BlackHat 2011 では、特定のフェムトセルモデルに複数の脆弱性があることが発表されました。この
モデルでは、専用の組み込み Linux が実行され、フランスで€ 99 で販売されていました 52。このモデ
ルに存在する問題の一つは、工場出荷時の状態にリセットするとローカルの設定が消去され、端末の
設定を最初から行う必要がある点です。リセットを何度も実行すると、初期設定時に交換されるデータ
の分析を行い、セットアッププロトコルのリバースエンジニアリングが可能になります。このモデルでは、
携帯電話会社のインフラと証明書を交換しますが、証明書の信頼性は確認しません。またキーが暗号
化されずに転送されます。
フェムトセルのリモート管理には TR-069 プロトコルが使用されますが、このサービスにも脆弱性が存在
する可能性があります 53。
フェムトセルなどの組み込み端末に存在する一般的な問題は、これらの機器が root 権限で実行される
点です。攻撃に成功すると、端末に対するフルアクセスが取得できます。特権レベルに昇格するため
に他の脆弱性を探す必要はありません。フェムトセルの特定のモデルに侵入する手順はオンラインで
公開されています。実装上の脆弱性も存在します。
フェムトセルにもプライバシーの問題が存在します。たとえば、この機器には近くの基地局の情報（位
置情報）が記録されている場合があります。また、加入者 ID （IMSI）と携帯電話 ID （IMEI）も記録
されます。一部のフェムトセルには、設定用の Web ページが用意されています。この Web アクセス
が保護されず、脆弱性が存在していると、重大な問題が発生する可能性があります。 BlackHat 2011
ではプライバシーに関する別の問題も報告されました。特定のフェムトセルモデルはログを集計し、暗
号化されていないパッケージとして FTP 経由で携帯電話会社に定期的に送信しています。このデータの
中には、ユーザーの活動に関する情報も含まれています。
ストレージデバイス
ストレージデバイスもマルウェアの感染経路になります。たとえば、 SD カードにはプログラムやインス
トールパッケージを記録できます。カードの所有者が端末に SD カードを入れたままにしておくこともあり
ます（ただ単に取り出すのを忘れただけでしょうが）。カードに記録されたプログラムがしばらくしてから
実行される場合もあります。エクスプロイトを含むファイルをしばらくしてから開くように細工することもで
きます。マルウェアによっては、これは理想的な攻撃手段です。盗み出したデータを SD カードに書き
込み、後で SD カードを持ち出すことも可能です。
取り外しが簡単にできないように SD カードの物理的なセキュリティも強化する必要があります。メディア
の操作ができないように OS で制御することもできます。
端末のメモリー空間を拡張するために SD カードが常時装着されている場合もあります。このカードは
ハードディスクのような役割を果たしているため、最新の暗号化技術を使用してカード全体を暗号化す
るなど、適切な方法で保護する必要があります。
Android 端末は、 SD カードなどのリムーバブルメディアに対するアクセス制御とアプリケーションデータ
ファイルの暗号化を行う機能をサポートしています。
モバイル端末のストレージ（内蔵ストレージと SD カードの両方）は、端末を PC に接続したときにも
危険が生じます。モバイル端末をラップトップまたはデスクトップにスレーブとして接続すると（通常、
Micro-USB コネクタ経由）、端末の内部ストレージは Windows の拡張ドライブとしてマッピングされます。
この状態になると、 PC 上でマルウェアを自動的に実行する攻撃（AutoRun や Stuxnet ワームが悪用し
た LNK の脆弱性）がモバイル端末に実行される可能性があります。攻撃の危険性は、ケーブル接続
だけでなく、 PC に SD カードを挿入したときにも発生します。攻撃者がマルウェアを自動的に実行でき
ない場合、 PC 用の不正なプログラムを SD カードに記録し、 PC 上で実行しようとします。この方法で
モバイル端末への攻撃も可能です。
52. R. Borgaonkar, N. Golde, K. Redon、「Femtocells: A Poisonous Needle in the Operator’ s Hay Stack」
（フェムトセル : 携帯ネットワークに突き刺さる毒針）、 BlackHat 2011, Las Vegas
53. http://en.wikipedia.org/wiki/TR-069
18
レポート
モバイル端末のセキュリティ : 現状と今後
Bluetooth
最近、 Bluetooth ネットワークスタックに侵入してリモートからコードを実行したり、物理的な接続がなく
ても自動車の操作が可能であることを示す発表が行われました 54。同様に、 Bluetooth 経由でモバイ
ル端末が攻撃を受ける可能性もあります。攻撃を行うには、攻撃対象の近くにいることが必要です。
スタジアムにいたユーザーの Symbian 端末に感染した Cabir ワームの事例はこの条件を裏付けていま
す。 Bluetooth スタックの脆弱性（または MAC の偽造）は、標的型攻撃で最も一般的な手口です。
近くにいるため、特定の人物やグループにのみ攻撃を行うことは非常に簡単です。この手口は標的型
の APT に最適な方法でしょう。
ネットワークのブリッジ
モバイル端末には複数の通信手段が用意されています。通常は、1 つ以上の携帯電話基地局（GSM、
3G など）に接続しています。また、Wi-Fi 経由でローカルネットワークに接続したり、狭いエリアではフェ
ムトセル、 Bluetooth、赤外線などで通信を行います。モバイル端末は移動を前提としているため、 1 日
の中で接続先を何度も変更します。入り口とプロトコルの選択肢が増えるため、これは攻撃者にとって
も都合の良いことです。攻撃者は最も脆弱な通信リンクを優先的に攻撃するため、自宅での接続が頻
繁に狙われます。
また、再接続の問題もあります。たとえば、会社から自宅に帰るたびに、携帯電話は同じフェムトセ
ルに接続します。この再接続中に攻撃者は繰り返しネットワークトラフィックを傍受できるので、通常で
は不可能な攻撃も可能になります。
いずれかのネットワークが侵入されれば、モバイル端末も攻撃を受ける可能性が高くなります。端末
が会社のネットワークに再接続すると、このネットワークが入り口となり、不正な行為が実行される可
能性があります。
セキュリティ機能の悪用
バックアップとデータの暗号化
多くのモバイル端末には、端末のライフサイクルとしてバックアップ機能が搭載されています。たとえば、
iPhone にはコンピューターとの同期機能が装備されています。 Android 端末は、関連する Google ア
カウントを使用してオンライン上にデータを保存します。 iOS の暗号化の解読は可能でも、攻撃を実行
するには端末に物理的にアクセスする必要があります 55。この方法では、 iPhone が同期している PC
のバックアップデータを解読することはできません
バックアッププロセスには常にセキュリティリスクが伴います。
•
リモートにデータをバックアップする場合、転送中のデータは保護されていません。同期プロセスの
保護に関する Apple の修正履歴を見ると、それぞれの OS の更新でセキュリティは強化されています
が、これは一部の問題が段階的に特定され、解決されたことを意味します 56。
•
サイバー犯罪者にとってバックアップは価値のあるデータです。 iPhone のバックアップは暗号化されま
すが、 Android の場合、暗号化を行うアプリケーションを用意しなければなりません。
•
データを適切な方法で暗号化していても攻撃を受ける場合があります。たとえば、バックアップに必
要な時間やバックアップファイルのサイズを測定すると、端末の使用頻度が分かります。これにより、
サイバー犯罪者はこの端末が攻撃に値するかどうか判断できます。
•
カスタムバックアップシステムを使用しているモバイル端末には別のリスクがあります。研究者の間で
はこれらのシステムは注目されていません。
•
多くの端末でリモートバックアップ（またはリストア）を行うと、DoS 状態が発生する可能性があります。
この機能も適切な方法で保護する必要があります。
54. http://www.technologyreview.com/computing/35094
55. http://www.itproportal.com/2011/05/25/russian-security-group-breaks-ios-encryption-says-few-groups-capable-repeating-steps
56. D.D.Zovi、「Apple iOS Security Evaluation: Vulnerability Analysis and Data Encryption」
（Apple iOS のセキュリティ評価 : 脆弱性の分析とデータの暗号化）、 BlackHat 2011, Las Vegas
19
レポート
モバイル端末のセキュリティ : 現状と今後
リモート消去
端末の紛失または盗難時に端末のデータをリモートから消去する機能は一般的な機能です。この機能
はアドオンソフトウェアで提供されることもあります。リモートからの消去機能は、 IT 部門がポリシーを
管理する企業環境でよく使用されています。たとえば、 IT ポリシーで BlackBerry 端末のデータ消去を
行います 57。重要な情報を保護するために便利な機能ですが、悪用される非常に危険な状態になりま
す。
リモートから消去を行う IT 管理者は厳密なポリシーに従う必要があります。リモートからのバックアップ
と消去機能を行う場合には、この機能を開始する機器に物理的にアクセスする必要があります。リモー
トからの実行を許可すると、非常に危険な状態になります。
パスワードの保存
多くのモバイル端末には重要なデータが保存されています。 Nokia の端末（スマートフォン以前の端末
も含む）には決済機能が搭載され、重要なデータ（ログイン ID とパスワード、クレジットカード番号、
PIN 番号、銀行口座の情報、パスフレーズなど）が保存されていました。
モバイル端末にはアプリケーションのデータも保存されます。アプリケーションによっては、データ流出
の脆弱性が存在する可能性があります。また、次のような欠陥が存在する場合があります。
•
アプリケーション間の分離が適切に行われていないと、重要なデータが他のプログラムで使用できる
場合があります。
•
暗号化が適切に行われていないと、データが解読され転送される可能性があります。たとえば、
Skype for Android のあるバージョンでは、個人データが暗号化されずに SQLite データベースに格納
されます 58。
利便性を高めるため、パスワード収集ツールによってログインデータが自動的に挿入される場合があり
ます。重要なデータが暗号化されていない場合、十分な制御ができません（ユーザーがデータを制御
することができません）。
端末のロック
モバイル端末を紛失したり、置き忘れた場合、一時的なものであっても不正なアクセスを防ぐ対策を講
じる必要があります。最も一般的な対策は、端末で一定の時間操作が実行されない場合に端末をロッ
クする方法です。ロックを解除するには、 PIN 番号またはパスワードの入力が必要になります。
これは、あくまで応急処置的な対応であり、完全な解決策ではありません。 PIN 番号は、肩越しに覗
き見ることで簡単に盗み出すことができます。
重要なデータを扱うアプリケーションの中には 2 つ目のパスワードを要求するものもあります。これは良
いセキュリティ対策ですが、セキュリティポリシーが施行されていないと、ユーザーがこのパスワード入
力機能をオフにしてしまう可能性があります。
標準的なセキュリティポリシーでは、 4 桁の PIN 番号（iPhone）またはパターン認識（Android）を使
用していますが、より長い英数字の文字列を使用するなど、安全性の高い方法に切り替える必要があ
ります。特に、端末を仕事で使用する場合には、より強固な対策を行う必要があります。
端末所有者の大半は短い PIN 番号で端末をロックしています 59 。他の方法があることを知らないユー
ザーも少なくありません（iPhone の高度なセキュリティオプションなど )。また、多くのユーザーが非常
に脆弱な PIN 番号を使用しています。 PIN 番号の約 11% は、 1234、 0000、 1111、 2580、 0852
のいずれかの組み合わせを使用しています 60 。
残念ながら、ログインオプションとして指紋や虹彩の認証は採用されていません。
57. http://docs.blackberry.com/en/admin/deliverables/4222/Remote_Wipe_Reset_to_Factory_Defaults_250402_11.jsp
58. http://www.androidpolice.com/2011/04/14/exclusive-vulnerability-in-skype-for-android-is-exposing-your-name-phone-number-chat-logs-anda-lot-more
59. D.D.Zovi、「Apple iOS Security Evaluation: Vulnerability Analysis and Data Encryption」
（Apple iOS のセキュリティ評価 : 脆弱性の分析とデータの暗号化）、 BlackHat 2011, Las Vegas
60. http://www.gadgetnew.info/iphone-top-10-pin-codes-picked-by-users
20
レポート
モバイル端末のセキュリティ : 現状と今後
複数の ID
モバイル端末は個人で所有されているとは限りません。家族や友人、親戚と共有している場合もあり
ます。端末の共有は次のようなセキュリティリスクを伴います。
•
端末で使用されるアプリケーションの種類が増える。
•
複数のユーザーの個人データが存在する。
•
有料サービスに対する制御ができない。
•
端末を紛失する可能性が高くなる。
•
子供に不適切なコンテンツが表示される。
共有を制限するセキュリティ対策を行う必要があります。特に仕事で使用する端末には不可欠です。
次のような対策が考えられます。
•
許可するアプリケーションをホワイトリストに登録する。
•
マルチユーザー対応アプリケーションの機能を制限する。たとえば、電子メールには 1 人の ID しか
許可しない。
•
職場の環境を離れる場合には、ビジネスデータをロックする（強固な暗号化を行う）。
•
保護者機能を使用する。
IT のコンシューマライゼーション
個人で所有している端末を会社に持ち込み、社内のネットワークに接続するケースが増えています。
自分のモバイル端末を仕事でも使いたいという従業員は増えていますが、 IT 管理者は、自身が構築し
て管理しているシステムを信頼する傾向があります。仕事の環境で個人用の端末を使用する動きを IT
のコンシューマライゼーションといいますが、このプロセスは必ずしも安全なものではありません。マル
ウェアによって制御されている端末が社内に持ち込まれるかもしれません。また、動画や音声が記録
できる端末が許可なくインターネットに接続する可能性もあります 61。
規模は小さいものの、ノート PC が会社で使われ始めた頃にも同様の問題が起きています。しかし、
スマートフォンの場合はより大きな問題となっています。
IT 担当者が特定のセキュリティポリシーで許可する管理機能がモバイル端末で実行される可能性もあり
ます。 OS の一部またはセキュリティソフトウェアとして端末に DLP 機能が搭載された場合、 IT 管理者
はルールを慎重に管理し、 DLP を有効に利用する必要があります。
中間者攻撃（MITM 攻撃）
モバイル端末は複数の接続に対応し、接続先を頻繁に変更しています。この状態では MITM 攻撃を
受ける可能性が高くなります。このような攻撃は今後増加するものと思われます。モバイル端末は画
面サイズに制約があるため、さらに危険な状態になります。たとえば、ブラウザーで SSL の表示が見
えない場合があります。小さな画面に多くの情報を表示しようとするため、ソフトウェアの開発者がセキュ
リティ情報の一部またはすべてを非表示にしてしまう可能性があります。
SSL 機能自体が欠けていたり、攻撃可能な場合もあります 62。 Comodo や最近の DigiNotar のように、
信頼された証明書プロバイダーがハッキングされた例もあります 63。信頼された SSL 証明書がハッキン
グされると、 MITM 攻撃が実行され、ログイン情報などのデータが盗まれたり、不正なデータ操作（間
違った情報を戻すなど）が実行される可能性があります。 DNS （Domain Name System）がハッキン
グされると、 SSL を悪用した MITM に類似した攻撃が発生する可能性があります。
アプリケーションの脆弱性
モバイル端末を狙うマルウェアは、アプリケーションストアにだけ存在するわけではありません。 PC の
場合と同様に、スマートフォンで不正なサイトやハッキングされたサイトにアクセスすると、アプリケーショ
ンエクスプロイトでマルウェアに感染する可能性があります。このような攻撃を行うには、人気のあるア
プリケーションに存在する脆弱性を悪用する必要があります。
61. http://droidsecurity.appspot.com/securitycenter/securitypost_20110804.htm
62. https://www.trustwave.com/spiderlabs/advisories/TWSL2011-007.txt
63. http://www.computerworld.com/s/article/9218676/Sniffer_hijacks_secure_traffic_from_unpatched_iPhones
https://community.mcafee.com/thread/38704?tstart=0
21
レポート
モバイル端末のセキュリティ : 現状と今後
脆弱性の悪用に成功すると、 2 段階で攻撃を仕掛けてきます。
•
ユーザーが Web サイトを閲覧するか、文書を開いたときに署名なしのコードを実行する。ブラウザー
（Safari、 Opera など）の脆弱性や PDF/DOC/HTML の閲覧ソフトウェアに存在する脆弱性を悪用し、
このタイプのコードを挿入して実行します。最近見つかった iOS のジェイルブレイクエクスプロイトは
PDF フォント処理の脆弱性を悪用しています。
•
OS カーネルを改ざんし、可能な限り高い権限でのマルウェアの実行を可能にする。この処理を行う
には権限昇格の脆弱性を悪用する必要があります。この時点で、マルウェアを長期間実行させるた
め OS やウイルス対策の更新を無効にします。
iPhone などの端末がジェイルブレイクされていなければ、すべてのソフトウェアが信頼する提供元
（Apple の App Store）から提供されるのでマルウェアに感染することはない、という見方もあります。
しかし、これは誤解です。 App Store にマルウェアが存在することは殆どありませんが、絶対にないと
は言い切れません。また、端末に権限昇格の脆弱性が存在すれば、署名のないコードをカーネルで
実行することは可能です。このようなエクスプロイトがなければ、ジェイルブレイクは不可能です。 iOS
のすべてのバージョン（4.3.3 まで）がジェイルブレイクされている事実を見ると、このような脆弱性が
存在することは確かです。
自己複製型のマルウェア
寄生型ウイルス
殆どのモバイル OS では署名のないアプリケーションは実行できません。寄生型ウイルスが感染するこ
とは基本的にはあり得ません。ウイルスが寄生するにはアプリケーションの改ざんが必要ですが、改
ざんを行うと署名が破壊されます。ただし、セキュリティが正常に機能していない OS （ジェイルブレイ
クされた iPhone など）に拡散する可能性は残ります。いずれにしても、ユーザーが端末間でアプリケー
ションを直接共有することはないため、寄生型ウイルスは脅威にはなりません。
この環境で生き残る可能性があるのは、実行時に自身のソースコードを他のアプリケーションに追加す
るタイプです。このようなウイルスとしては、 Windows で W32/Induc が確認されています 64。この種
のウイルスが拡散するには、アプリケーションが開発されたソース管理システムにモバイル端末から侵
入する必要があります。ネットワークセキュリティの脆弱性（アプリケーション開発リポジトリが存在する
Wi-Fi ネットワークで開放されている SMB 共有など）が悪用できれば、端末のウイルスがデスクトップ
にあるアプリケーションのソースコードを改ざんし、自身のコピーを追加することも可能でしょう。しかし、
モバイル端末のマルウェアがアプリケーション開発リポジトリにアクセスする可能性はまずありません。
この種の脅威の危険度は非常に低いといえます。
バックドア型トロイの木馬やボットネットがモバイルソフトウェアのソース管理システムに侵入する可能性
は考えられます。この場合、攻撃者は開発中のアプリケーションに対して変更を行い、ソースコードを
改ざんすることができます。
ワーム
ワームは変更を行わないマルウェアです。デジタル署名が破壊されることはありません。寄生型ウイ
ルスと比べると、この種のマルウェアは単純です。ワームの感染方法も寄生型ウイルスの場合と同じ
ですが、ワームはアプリケーションのソースを変更しません。保護されていないアプリケーションストア
の証明書を見つけるとすぐに、自身のコピーをアプリケーションストアにアップロードし、他のユーザー
がダウンロードできるようにします。名前を変えて複数のコピーをアップロードする場合もあります。
アプリケーションストアの有効な証明書が見つかることは殆どないため、このような攻撃が発生すること
はまずありません。ワームが事前に編集された証明書のリストを使用しない限り（リストを埋め込むか、
リモートからアクセス可能にするか）、ワームのコピーが複製されることはありません。
自動ワーム
モバイル端末にリモートからコードを実行できる脆弱性が見つかる場合があります。人気のある
アプリケーションが使用するネットワークプロトコルでこのような欠陥が見つかると、自動的に実
行されるワームが端末間で拡散する可能性があります。自動ワームとは、 W32/CodeRed や
W32/Slammer のように、拡散にユーザーの操作を必要としないウイルスです。
64. http://www.mcafee.com/threat-intelligence/malware/default.aspx?id=204731
22
レポート
モバイル端末のセキュリティ : 現状と今後
携帯電話会社やセキュリティ企業はこのような脅威に対して対策を講じる必要があります。ワーム自体
にスロットル機能がない限り、このようなワームが活動を開始すると大量のトラフィックが発生します。
携帯端末の通信が麻痺する危険性もあります。
脆弱性は特定の環境に固有のもので、異なる OS やハードウェアに同じ脆弱性が存在することはあまり
ありません。したがって、異なる種類の端末にワームが自動拡散する可能性はありません。しかし、
スマートフォンで標準化が進んでいる現状を見ると、 Android を実行する複数の端末に同じ脆弱性が見
つかり、複数のハードウェアに対する攻撃が発生することも考えられます。
汚染とドライブベイ
アプリケーションが端末間を移動することはまずありません。しかし、アプリケーションストアが汚染され、
マルウェアの数が増加することは考えられます。 Google などの検索エンジンに対する SEO 攻撃のよう
に、アプリケーションストアでアプリケーションの評価を改ざんする攻撃者が急増する可能性があります。
アプリケーションストアにマルウェアが侵入し、その評価を引き上げることに成功すれば、マルウェアへ
のリンクがスパムやソーシャルネットワークで広範囲に送信される可能性があります。このような状況に
なれば、ストアから常に被害者がでることになります。
マルウェアを PC に感染される手段としてよく使われるのがドライブバイダウンロードです。これは、ブ
ラウザーやブラウザーのプラグインに存在する脆弱性を悪用し、ユーザーが Web ページを閲覧したと
きにマルウェアに感染させる攻撃です。モバイル端末でも同様の攻撃が起こり得ますが、攻撃に成功
するにはインターネットに接続アプリケーション（PDF、 JPG、 DOC、 XLS、 PPT、 HTML などの共有ファ
イルを開くアプリケーション）に脆弱性が存在する必要があります。これらのアプリケーションに存在す
る脆弱性の数が減少しなければ、不正な URL を使用した攻撃の頻度は高くなることが予測されます。
フィッシングとホエーリング
モバイル端末に対するフィッシング詐欺はすでに発生しており、今後は件数が増えるでしょう 65。フィッ
シングはソーシャルエンジニアリングを利用した効果的な攻撃で、デスクトップでもスマートフォンでも攻
撃の手口は同じです。
ホエーリングはフィッシング詐欺の一種で、有名人や地位のある人物（CEO、 CFO、 CTO など）を標
的にします。この手口は、段階的な標的型攻撃でも利用されます。ホエーリングの最初の段階に成
功すると、組織内の複数の対象に攻撃を拡大します。重要なデータを継続して盗み出すには、 APT
のインストールも有効な方法です。
APT とルートキット
APT （Advanced Persistent Threats）は自身の存在を隠す技術で、高度な脅威と言われています。こ
の技術はルートキット（ステルス性のあるマルウェア）でよく使用されています。
OS が改善されているにも関わらず、ルートキットは Windows で大きな問題となっています。 2010 年
の DefCon で、 Android へのルートキットの実装が比較的簡単であることが発表されました 66。このデ
モに使用されたルートキットは複数の Android OS に対応していました。しかし、 Android の複数のバー
ジョンに対して攻撃を実行するルートキットを作成することは簡単ではありません。
マルウェアの開発者は、移植性の問題を解決して複数のバージョンに対応するルートキットを作成する
だけでなく、端末を物理的に操作せずにルートキットをリモートから配布しようと考えました。この手段
を実現するには、リモートから root 権限で不正なコードを実行する必要があります。つまり、リモート
からコードを実行するエクスプロイトと権限昇格のエクスプロイトを使用しなければなりません。この両方
のエクスプロイトがなければリモートからの配布は不可能です。特に、前者のエクスプロイトがカーネ
ルに存在し、すぐに root 権限でコードの実行を可能にする必要があります。
スマートフォンにアクセスでき、正確な仕様と OS の設定が分かっていれば、工場や店舗でスマートフォ
ンにルートキットをインストールすることも可能です。この方法では、移植性の問題も、リモートから配
布する場合の問題も解決できます。ユーザーに気付かれずに APT をインストールするには、ロックさ
れていないスマートフォンを探して端末を借りる必要があります。
65. http://www.malwarecity.com/blog/mobile-phishing-do-you-know-where-that-link-leads-to-1021.html
66. https://www.defcon.org/images/defcon-18/dc-18-presentations/Trustwave-Spiderlabs/DEFCON-18-TrustwaveSpiderlabs-Android-Rootkit-WP.pdf
23
レポート
モバイル端末のセキュリティ : 現状と今後
人気のある OS でも、既知のエクスプロイトに対するパッチが完成するまでに 2 週間ほどかかります。
カスタマイズされた Android を使用している端末の場合にはもう少し長くなります。攻撃者が脆弱性を
悪用できる時間は限られています。 Google は、オープンソースである Android では、プログラマー
やセキュリティ専門家がバグを素早く見つけることができるので、結果的に安全なコードになると主張し
ています。この手法は機能しているように見えます。確かに、 Android で報告された脆弱性の件数は
iOS よりも少なくなっています。しかし、オープンソースであるため、より深刻なセキュリティ問題を簡単
に探し出し、攻撃することも可能です。攻撃可能なバグの中には、提供元に確認しないと見つからな
いものも存在します。
ゼロデイ攻撃のエクスプロイトは探しにくく、価格も高いため、攻撃の危険性は限定的です。 OS の強
化も進んでいるため、ゼロデイ攻撃の頻度も低下します（ジェイルブレイクも難しくなっています）。また、
地下マーケットでの販売されているゼロデイ攻撃用のエクスプロイトの価格も確実に上昇します。このよ
うなエクスプロイトを使用するマルウェア作成者は少なくなるでしょう。
マーケットでゼロデイ攻撃のエクスプロイトを購入するマルウェア作成者は減るでしょうが、 APT の開発
が制限されるわけでありません。 W32/Stuxnet で強く疑われているように、政府からの資金提供がな
いともいえません。
モバイル端末のアプリケーションに対するパッチと更新の提供はデスクトップよりも迅速に行われていま
す。この機能が OS に組み込まれ、殆どの端末がインターネットにほぼ常時接続しています。このため、
デスクトップよりも迅速に更新が実行されます。パッチや更新の速度が速くなるため、危険な状態が長
時間継続することはありません。
仮想 OS
究極のルートキットは、 OS が正規のハードウェア上で実行されているように見せかけます。実際には、
OS とハードウェアのやり取りをすべて傍受し、データを改ざんしています 67。これは、中間者攻撃とい
うよりも Man-in-the-Hardware 攻撃といえます。
現在のモバイル端末はまだ仮想化に対応していません。低電力消費の制約がネックになっているのか
もしれません。しかし、スマートフォンでの仮想化の利用が進むことは確かです（たとえば、同じ端末
上で複数の OS を実行する場合など）。この数年の間に、モバイル端末の仮想化を狙う攻撃も発生す
るでしょう。
エンターテイメント
仕事に使用しない場合、多くのユーザーがモバイル端末をエンターテイメントに使用しています。同じ
端末が 2 つの用途に使用されています。
一般的な意味では、エンターテイメントデータ（映画や音楽）は会社のデータと似ています。両方とも
保護する必要があり、 DRM と DLP がファイルの保護技術としてよく利用されています。ストレージから
画面、入力端末からアプリケーションまたはプロバイダーに送信されるデータを保護し、特定の端末に
バインドするモバイルハードウェアも登場するでしょう。それまでの間、モバイルハードウェアに対する
脅威（コンポーネントのマイクロコードの消去や置換）は確実に増加します。攻撃者は 1 対 1 のバイ
ンドを壊そうとします。物理的なアクセスが可能なため、モバイル端末には比較的簡単にこのような攻
撃を実行できます。
ハードウェアの再プログラミングや交換を行う不正な交換が行われた場合にデータを自動的に消去する
ような改ざん防止機能付きの端末が出現するかもしれません。バッテリ駆動の端末の場合、これは難
しい技術です。バッテリが最初に取り外された場合は検出しないようにする必要があります。 iPhone の
バッテリが簡単に交換できないようになっているのは、セキュリティ上の理由があるのかもしれません。
その真意は分かりませんが、これは良いアイデアだと思います。
モバイル端末に近接センサーが搭載されていれば、所有者から離れた場所に端末が移動したときに端
末を安全にロックしたり、端末のデータを消去できます。
67. http://en.wikipedia.org/wiki/Blue_Pill_(malware)
24
レポート
モバイル端末のセキュリティ : 現状と今後
偽のアラート
Windows を狙う脅威の中で最も一般的なマルウェアの一つが偽のウイルス対策ソフトウェアです。この
ソーシャルエンジニアリングを利用した脅威は、スケアウェア、不正なウイルス対策ソフトウェア、偽の
アラートなどとも呼ばれています。このマルウェアは偽のセキュリティ脅威を生成し、ユーザーを脅して
問題に対する修正を購入させようとします。偽のウイルス対策ソフトウェアは、無料スキャンでマルウェ
アが見つかったことをユーザーに通知し、システムからマルウェアを駆除するために完全なバージョンを
購入するように促します。
PC で成功を収めているため、モバイル端末での偽のウイルス対策ソフトウェアが増えることが予測され
ます。すでに何件かの報告を確認しています。セキュリティツールを装うマルウェアが J2ME で見つかっ
ています 68。また、 2011 年 4 月には Android で同様のマルウェアが見つかりました 69。
ソーシャルネットワーク
モバイル端末からソーシャルネットワーク（Twitter、 Facebook、 LinkedIn など）に接続するユーザー
が増えています。これらのリソースは屋外での使用にも適しています。また、ソーシャルネットワーク
サーバー上の大半の情報はプライベートな情報です。ソーシャルネットワークのセキュリティが適切に行
われていても、マルウェアに感染した端末からデータが盗まれる可能性があります。
無料の Wi-Fi ネットワークは特に問題です。多くのユーザーが有料のネットワークの代わりに利用して
いますが、暗号化されていないトラフィックは簡単に盗聴され、パスワードが盗まれてしまいます。 SSL
接続を使用していなければ、窃盗は非常に簡単です。たとえば、 facebook.com には HTTPS または
HTTP でアクセス可能ですが、多くのユーザーは前者で接続していることに気付いていません。
リモート制御
リソースのリモート管理に使用されるモバイル端末が増えています 70。また、 PC にリモートからフルア
クセスが可能な端末も存在します 71。タブレット端末でも簡単な管理作業が実行できます。ノート PC と
同じ画面サイズのタブレットもあります。会社の資産やプロセスを定期的に確認するだけであれば、テ
キスト入力もそれほど必要ではありません。キーボードやマウスがなくても特に問題はありません。
しかし、モバイル端末が攻撃を受けると、会社のネットワークに侵入される可能性があります。内部サー
バーが外部に公開され、企業秘密が Anonymous や LulzSec グループに漏えいする可能性もあります。
また、プロセスの操作も簡単です（製造ラインの停止など）。セキュリティ対策が十分でないモバイル
端末が原因で、破壊活動や業務妨害が行われる危険性があります。テロやサイバー戦争に巻き込ま
れる可能性もあります。
産業制御
イランのウラン濃縮施設に W32/Stuxnet ワームによる攻撃が発生した後、通信、レポート、警告にモ
バイルネットワークを使用している産業システムの安全性に対する懸念が高まりました。 SCADA 産業
用制御システムでは、次のような目的でモバイル通信が使用される可能性があります 72。
•
データ取得（読み取り専用モード） : 温度計の入力データ、ドア状態などの収集
•
制御（書き込みモード） : たとえば、 SCADA システムで電子ロックの解除、バルブの閉鎖、モーター
または遠心分離機の速度制御を行う場合。
•
緊急事態などの警告 : SMS または電子メールの送信。たとえば、温室の温度が一定のレベルよりも
低くなった場合。
リモートの装置は、 SCADA システムの中央の制御装置にモバイルネットワークを介してかなり頻繁に接
続しています 73。また、かなり広範囲で使用されています。 Google で「SCADA+GSM+RTU」と検索
すると、 100 万近くの結果が戻されます。脅威は現実的な問題です。
68.
69.
70.
71.
72.
73.
http://www.securelist.com/en/blog/208187561/Antivirus_Fraudware_Goes_Mobile
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=TrojanSpy%3AAndroidOS%2FLanucher.A
http://itunes.apple.com/us/app/vmware-vsphere-client-for/id417323354?mt=8
http://itunes.apple.com/us/app/remote-desktop-lite-rdp/id288362576
http://en.wikipedia.org/wiki/SCADA
http://www.ff-automation.com/products/gsm-rtu.shtml
25
レポート
モバイル端末のセキュリティ : 現状と今後
緊急連絡にも携帯電話が使用されています。殆どの産業用と IT の監視ツールは、 SMS または音声通
話でアラートを送信します。音声通話では合成された音声メッセージが使用されます。会社や自宅の
セキュリティアラームでも同様の方法が採用されています。今後の攻撃では、アラートがブロックされた
り、偽のアラートが生成される可能性があります。分散 SCADA でもモバイル端末のセキュリティ分析
が必要になります。
分散 SCADA システムに対する攻撃としては、次の攻撃が考えられます。
•
通信妨害（DoS 攻撃）
•
データの盗用（パッシブな MITM）
•
データの不正操作（アクティブな MITM）
データを操作することにより、攻撃者はリモートプロセスを完全に乗っ取り、制御装置に報告される内
容を改ざんする可能性があります。これらの操作は中央制御室に全く気付かれずに実行される可能性
があります。
ボットネット
Windows PC と同様に、モバイル端末をボットネットに組み込まれる可能性があります。モバイル端末
に対しても、ボットネットの特性を示すマルウェアが確認されています 74。
ボットネットに組み込まれると、モバイル端末の使用時に特定の問題が発生します。ボットネットの影
響は携帯電話会社にも及ぶ可能性があります。
•
TCP/IP プロトコル以外の帯域幅が増加する（汎用パケット無線通信システム、 3G）
•
モバイルボットは携帯電話会社のインフラに攻撃を仕掛ける可能性があります。たとえば、特定のエ
リアに存在するボットが一斉に再起動または再接続を開始し、 1 つ以上の基地局またはプロバイダー
全体が DoS 状態になる可能性があります。このような攻撃が実行されると、多額の通話料金が発生
します。電波エリアの最大範囲が 20km から 25km であれば、 1 つの基地局、特に密集地域の基
地局内に存在するボットに命令を送信するだけで、ネットワークがクラッシュする可能性があります。
ボットネットが特定の個人や電話番号に大量の SMS を送信したり、発信を繰り返して攻撃を行う可能性
もあります。
ハードウェアの選択肢が多いため、ボットネットは様々な種類の攻撃（音声、動画、 GPS）を行います。
また、様々な接続（PC、 Wi-Fi、 Bluetooth、 SD カード、 USB など）を介して他のコンピューターに感
染を拡大します。
結論
モバイル端末用 OS のセキュリティは急速に発展しています。寄生型ウイルスなど、特定の種類のマ
ルウェアはモバイル端末の脅威ではなくなっています。しかし、スマートフォンの接続特性や、アプリケー
ションストアでのマルウェアフィルタリングに関する問題を考えると、モバイルマルウェアの脅威は今後
も増大することが予測されます。
アプリケーションストアに対して大量の攻撃が発生することが予想されます。最初はマルウェアの投稿
だけですが、その手口は徐々に変化し、開発者の評価を操作したり、アプリケーションのソース管理
システムに侵入する攻撃も発生するでしょう。大半のマルウェアは今後も金銭目的で使用され、 NFC
取引、ビットコイン、電子ウォレットなどが攻撃の標的となるものと思われます。
大半のスマートフォンには高度なハードウェア機能（音声記録、カメラ、 GPS）が搭載されています。
攻撃者が盗み出す重要な情報が増えるため、スマートフォンに対する攻撃の平均被害額は増加するで
しょう。
MITM 攻撃（SSL、DNS の感染、フェムトセルなど）も増えるでしょう。企業や産業領域を狙う APT/ ルー
トキットマルウェアが増加し、ゼロディの脆弱性に対する攻撃も増えていきます。
モバイル端末の物理的なセキュリティだけでなく、 OS （特に Android）のセキュリティ機能も向上させる
必要があります。
74. http://blogs.mcafee.com/enterprise/mobile/analysis-of-androiddrad-bot , http://www.csc.ncsu.edu/faculty/jiang/DroidKungFu3/
26
レポート
モバイル端末のセキュリティ : 現状と今後
謝辞
同僚の Carlos Castillo、 Michael Price、 Jimmy Shah から貴重な意見や助言を頂きました。改めて感
謝の意を表します。
筆者について
Dr. Igor Muttik は、 McAfee Labs のプリンシパルアーキテクトで、物理学と数学で博士号を取得してい
ます。コンピューターウイルスの研究は、後に McAfee に買収される Dr. Solomon’ s Software で始
めました。マルウェアに関する調査の他に、世界各地のセキュリティ会議に頻繁に参加し、発表を行っ
ています。
McAfee Labs について
McAfee Labs は、世界各地に存在する McAfee の研究機関で、マルウェア、 Web、電子メール、ネッ
トワークなどに対する脅威を研究・調査し、脆弱性の報告を行っています。 McAfee Labs は、世界各
地に数百万台のセンサを配備し、クラウド型サービスの McAfee Global Threat Intelligence ™により情
報収集を行っています。世界 30 か国に存在する McAfee Labs には、様々な分野を専門とする 400
名の研究者が在籍し、企業や一般のユーザを保護するため、リアルタイムの脅威検出、アプリケーショ
ンの脆弱性特定、リスクの相関分析、迅速な問題解決に努めています。
マカフィーについて
マカフィーは、インテル・コーポレーション（NASDAQ: INTC）の完全子会社であり、セキュリティ・
テクノロジー専業のリーディングカンパニーです。世界中で使用されているシステム、ネットワーク、
モバイルデバイスの安全を実現する革新的なソリューションとサービスを提供し、ユーザーのインター
ネットへの安全な接続、Web の閲覧およびオンライン取引の安全を確実に支えています。マカフィーは、
他の追随を許さないクラウドベースのセキュリティ技術基盤 Global Threat Intelligence （グローバル
スレットインテリジェンス）を活用して、革新的な製品を送り出しています。個人ユーザーをはじめ、企業、
官公庁・自治体、サービスプロバイダーなど、様々なユーザーはコンプライアンスの確保、データの
保全、破壊活動の阻止、脆弱性の把握を実現し、またセキュリティレベルを絶えず管理し、改善す
ることができます。お客様の安全を確保するため、マカフィーは、新しい手法の開発に日々真摯に取
り組んでいます。 www.mcafee.com/jp
マカフィー株式会社
www.mcafee.com/jp
〒 150-0043 東京都渋谷区道玄坂 1- 12- 1
渋谷マークシティウェスト 20F
TEL 03-5428-1100 （代） FAX 03-5428-1480
名古屋営業所〒 460-0002 愛知県名古屋市中区丸の内 3-20-17
中外東京海上ビルディング 3F
TEL 052-954-9551 （代） FAX 052-954-9552
西日本支店
〒 530- 0003 大阪府大阪市北区堂島 2-2-2
近鉄堂島ビル 18F
TEL 06-6344-1511 （代） FAX 06-6344-1517
福岡営業所
〒 810- 0801 福岡県福岡市博多区中洲 5-3-8
アクア博多 5F
TEL 092-287-9674 （代） FAX 092-287-9675
東京本社
本資料は弊社の顧客に対する情報提供を目的としています。本書の内容は予告なしに変更される場合があります。本書は「現状のまま」提供するものであり、
特定の状況あるいは環境に対する正確性および適合性を保証するものではありません。
McAfee、 McAfee のロゴ、 McAfee Labs、 McAfee Global Threat Intelligence は米国法人 McAfee, Inc. またはその関係会社の登録商標です。本資料
中のその他の登録商標及び商標はそれぞれその所有者に帰属します。 © 2011 McAfee, Inc. All rights reserved.
39707rpt_security-mobile-devices_1111

Download Report