携帯電話・タブレットPCに迫る脅威とその対策　その3

ユーザーに被害を与える「マルウェア以外の危険性」とは？

2012年04月16日 06時00分更新

文● 富安洋介／エフセキュア

　第37回と第38回では、モバイルOSのマルウェアの歴史を追ってきました。しかし、モバイル機器の脅威はマルウェアだけではありません。今回は、マルウェア以外の危険性について紹介したいと思います。

偽ソフトウェアによる被害

　ユーザーに被害を与えるソフトウェアには、マルウェアのほかに「偽ソフトウェア」があります。これらは、ソフトウェアの動作としては何ら害を与えるものではありません。それどころか何もしないというのが適切でしょう。何の動作も行なわないものを、さも効果があるように見せかけて販売しているのが偽ソフトウェアです。

　偽ソフトウェアの例には、電池を長持ちさせる効能があると紹介文に書いてあるのに、実際にはバッテリー容量を表示するだけのものであったり、オンラインバンクのツールを謳って、実際にはブラウザで銀行のサイトを開くだけのものなどがあります。特に後者のツールは、偽ソフトであるばかりか、そのあと、呼び出される銀行のサイトがフィッシングサイトに書き換わるという二次被害も発生しました。

　偽ソフトウェアは、通常100円以下程度の安い価格で販売されます。損害が少ないため、被害にあったユーザーの大半が、警察に訴えたり、訴訟を起こして払ったお金を取り戻そうという行動にはでません。売る側も、もともとが何もしないソフトなので開発コストもかかっていないのですから、1本あたりの売り上げが少なくても、多くの人からお金を得ることができれば十分に儲けになります。

イギリスで販売されたオンラインバンクの偽ソフトウェア。1つ1ポンド（約130円）以下で販売されている

　前回紹介したようなモバイルマルウェアは、Symbian OSやAndroid、あるいはジェイルブレイクしたiOSなど、ユーザーが自由にアプリケーションをインストールできるOSのみにしか存在しません。ですが、偽ソフトウェアは技術的には脅威がないために、通常のiOSやWindows Phone7などの公開元が限定される場合でも存在し得ます。

モバイル端末の特性を利用したフィッシング攻撃

　インターネットへの接続が前提となるスマートフォンでは、フィッシング攻撃に狙われる危険も高くなります。フィッシング対策の面ではPCと比べて劣る部分があり、そこを狙った攻撃の事例があります。

　それは、PCのブラウザでサイトを開いた場合には、怪しいサイトに接続していることが簡単にわかるような場合でも、スマートフォンの場合は、URLの表示方法・表示領域の都合で非常にわかり難くなっている場合があるのです。

左がPCで見たフィッシングサイト。正しいURLは青い囲みの部分。PCのブラウザだとURLが異なることが一目瞭然だが、iPhoneのSafariは一見正しいURLのように見える

一番の心配は盗難・紛失

　第28回では、教育現場における情報漏えいの懸念点を紹介しました。その時はスマートフォンではなく情報が入ったPCやUSBメモリ、あるいは書類などが懸念点でしたが、2010年度の情報漏えいの一番の原因は盗難が36％で、紛失・置き忘れが10％となっていました。つまり、教育現場における情報漏えいの半分は盗難・紛失により生じているのです。

　スマートフォンでも同様に、盗難・紛失は大きな脅威です。JNSA（NPO 日本ネットワークセキュリティ協会）の2010年1年間の一般会社員を対象とした調査では、携帯電話の盗難・紛失の年間発生確率は約6.5％という結果が出ています。100人の従業員がいれば、年に6～7件は携帯電話の盗難・紛失が発生するとうことになります。また、警視庁の統計を見てみると、携帯電話の遺失物は年々増加していて、警視庁の管轄である東京都だけでも、2010年の携帯電話の遺失物は12万1241件もあることがわかります。

　●

　今回はモバイル機器を狙うマルウェア以外の脅威を紹介しました。もちろん、脅威があれば対策もあります。そこで次回は、モバイル機器を守るセキュリティについて紹介しましょう。