iPhoneを筆頭に、Andoroid、Windows Mobile搭載のスマートフォンが続々登場し、インターネットを利用する端末が大きく変化している。こうしたなか、インターネットでの攻撃対象もスマートフォンに移っている現状があるという。古くからケータイ向けのアンチウイルスソフトを提供しているマカフィーに話を聞いた。
ケータイやスマートフォンにウイルスって来るの?
マカフィー 技術本部 モバイルエンジニアリング プロダクトマネージャー 石川克也氏(左)、CSB事業本部 取締役 事業本部長 大岩憲三氏
ケータイやスマートフォンのセキュリティ対策について話す前に、まずは素朴な疑問から解消していきたい。
「そもそもケータイやスマートフォンにウイルスが来るの?」 多くのユーザーが感じる率直な疑問はこれだろう。そもそも日本で流通するケータイの多くは、独自のソフトウェアを用いたいわゆるガラケーであり、攻撃対象となるSymbian OSやWindows MobileといったOSを搭載する機種自体が少ない。ケータイで困るのは、むしろ迷惑メールの方である。ケータイ向けのアンチウイルスソフトなんて、「PC向けの製品の市場飽和を見越したセキュリティベンダーが無理矢理作り上げたものだ」なんて疑う人もいるはずだ。なにを隠そう担当が、こうした疑問や懸念を長らく抱いていた。
しかし、実際はケータイ向けのウイルスは着実に増えているという。「2004年にBluetooth経由で自身を送信し続けるキャビールというウイルスが発見されて以来、おもにSymbian OSをターゲットにしたウイルスが増えてきた」(マカフィー 技術本部 モバイルエンジニアリング プロダクトマネージャー 石川克也氏)とのこと。その後、Windows MobileやJ2ME(Java 2 Mobile Edition)をターゲットにするウイルスが増えており、現在700種類を越えるケータイ向けのウイルスが発見されているという。
そして、今後こうしたケータイやスマートフォン向けの攻撃が増えるのは間違いない。スマートフォンの場合、OSがiPhone、Windows Mobile、Androidなど共通のプラットフォームであり、攻撃者にとっても都合がよい。また、PCユーザーに比べてユーザーのリテラシが低いというのもケータイの大きな課題となる。
たとえば、Andoridはサンドボックスというセキュリティモデルを用い、システムや他のアプリケーション領域へのアクセスを制限している。しかし、「インストール時にユーザーに明示的な確認をもらえば、いろいろなところへアクセス可能になってしまいます。また、AndroidはLinuxベースですので、脆弱性をひきづる可能性があります。アプリケーションの流通もかなりオープンで、審査も行なわれていません」(石川氏)とのことで、マルウェアが増える余地は大いにあるわけだ。特に、AndroidはLinuxに比べてパッチ適用までの時間が長い傾向があるという。しかも、ケータイやスマートフォンは個人情報や嗜好性の固まりともいえる。漏えいやデータ紛失のリスクを考えたら、なんらか対策を採らない方が不思議だ。
組み込み向けウイルス対策に強み
いわゆるガラケーにもマカフィーのVirusScanは搭載されている
こうした脅威に対し、マカフィーは古くからケータイやスマートフォン向けのセキュリティ対策製品を提供してきた。「2002年にPC以外のモバイル向けのウイルス対策「VirusScan Mobileテクノロジー」に取り組みはじめ、2004年にはすべてのFOMA、Windows Mobile端末に搭載されています」(CSB事業本部 取締役 事業本部長 大岩憲三氏)とのことで、世界での累計は約1億台に上るという。特筆すべきは、ガラケーと呼ばれる日本独自のケータイにも組み込まれている点。LinuxやWindows Mobileだけではなく、PalmOS、Qualcom Rex、μITRONなど12を超えるOSに対応する。このように端末に最初から組み込む方法のほか、他のキャリアではダウンロード方式も採用している。
発表されたばかりのMcAfee VirusScan Mobile for Andoroid
そして、先頃はいよいよ韓国のSKテレコムとの提携で「VirusScan for Mobile for Andoroid」も投入された。クラウドを意識し、脅威の分析からシグネチャの更新までスムーズに行なえるようになっている。「手動のスキャンやシグネチャ更新に加え、SMSの送受信や外部メディアの挿入時などに自動的にスキャンすることも可能です」(石川氏)とのことだ。今後は不適切なサイトへのアクセスや端末自体の紛失による情報漏えいを防ぐための製品も計画されている。
昨今では、攻撃の目的も愉快犯的な理由から金銭詐取に移っているため、個人情報のフィッシング詐取などが増えているという。人によっては、PCよりもケータイやスマートフォンをターゲットにした攻撃のほうがダメージが大きいはずだ。こうした脅威に対して、今後キャリアが対応するのか、個人で対応するのかはやや見えにくいが、いずれにせよ対応を迫られるのは間違いない。
