まかふぃーぶはじめました 第17回

新年度から「マカフィー モバイル セキュリティ」で先制防御だ

自分のAndroidスマホが悪さをし始める前に

Androidの連絡先がばら撒かれるのなんて一瞬

スマホは立派なパソコン。だからこそセキュリティも確実なものにしたい

　Androidスマホはシェアでみる限り、すっかり携帯電話の代名詞となった。ほぼ毎月新機種が出ている一方、ガラケーは年に1回発表される程度の扱いだ。

　この状況、よく考えるとWindowsの成長期にそっくりだ。ただし、Android向けのマルウェアやフィッシングサイトの数そして被害件数は、わずか数年でWindowsの10年分を突破し、さらに被害を拡大させているという。

　これはスマホの優れたプロダクトの証明でもあるが、同時に“スマホ”という単語のみが先行した結果、人々の認識が“ネットができる電話”程度に落着してしまったことも原因の1つだろう。

　本誌読者諸君は重々承知だと思うが、スマホは超小型PCだ。住所録などプライベートな情報だけでなく、メールやクラウドでやり取りした業務上のクリティカルな書類も満載だ。実際のところ、内部に貯めこんでいるデータはPCとなんら変わりない。

　マカフィーの発表によると、2012年はデータベースに記録されたマルウェアの件数が1億を突破、そのうちモバイル端末を狙うマルウェアの数は前四半期比2倍に急上昇したという。当然、最も狙われたプラットフォームはAndroidだ。

　まあ、これらのバックボーンを踏まえなくても、Android関連のセキュリティニュースはもはやポピュラーだ。最近であれば、Androidの動作を高速化するアプリのフリをする「DroidCleaner」が強烈だった。挙動を列挙してみると――。

• SMSメッセージの送信・特定サーバーにアップロード・削除
• Wi-Fiの有効化
• 端末情報集出
• ブラウザで任意のリンクを開く
• microSD内データをすべて特定サーバーにアップロード
• 任意のファイルやフォルダを特定サーバーにアップロード
• 連絡先・写真・位置情報を特定サーバーにアップロード

　と、じつにやりたい放題。

　さらにこのDroidCleaner、root上にファイルをダウンロードして、DroidCleanerをインストールしたスマホがPCに接続されるやいなや、実行ファイルが自動的にスタートし、PC側のマイクをコントロール下においてしまう。そして周囲の音を勝手に録音するだけに留まらず、その録音データも特定サーバーにアップロードするという徹底ぶりだ。

Google Playそっくりなフィッシング詐欺サイトも存在する。アスペクト比固定のデザインが多いので、わかりやすいとはいえ油断は禁物

　またFacebookやTwitter、Appleなどの大手IT企業へのハッキングも続出している。その手口は個人のPCから企業の重要情報に到達というケースが多く、いわゆるサイバー戦争の一環ではという指摘もある。

　大手企業を狙った攻撃だと、対岸の火事に思えてしまうが、個人への攻撃方法はフィッシング詐欺や詐欺メール、データを引っこ抜くアプリなどであることに変わりない。自分の連絡先情報などが悪用された場合、家族や同僚だけでなく、関連会社や得意先まで被害を被ってしまう。

　最近では財団法人防衛調達基盤整備協会から「サイバー戦における民間企業の防護支援について」なる、ものものしいタイトルのPDFが配布されるほどだ。なお、このPDFの内容はとても参考になるので時間のあるときに目を通しておくといいだろう。（PDF注意）

改ページ

LINEやViberで“連絡先を同期する”ことの意味

　LINEブーム直後を思い出してみよう。LINEは連絡先を参照して、連絡先上にある電話番号のユーザーを友だちの候補として表示するだけでなく、設定によっては自動的に友だちが追加される。

　コミュニケーションアプリとしてはごくごく普通の動作で、無料通話アプリ「Viber」なども同様の方法で、相手が同じアプリをインストールしているか（無料通話ができるか）を判断している。

　例えば、それらアプリをインストールする前に、Facebookの友だち情報を連絡先と同期していたとしよう。本来、Facebookの情報とAndroidスマホ内にある連絡先はそれぞれ独立したものだが、同期することで“Androidスマホ内の連絡先”として扱われる。そこにLINEやViberが入ってくるとどうなるだろう？

　仮に、Facebook上の友だちが『LINEを使うつもりない』と思っていても、本人の知らないところで登録されてしまう可能性が浮上するのだ。なにかと便利な仕様ではあるが、同時に「自分がいくら注意を払っても無意味」トラブルは存在している。

「電話番号」への意識にもよるが、何気にLINEの「友だち自動追加」はセキュリティの面からみると怖いところもある

同期の設定でFacebookアカウントの連絡先同期をオンにすると、ローカル側の連絡先にもFacebookの連絡先情報が追加される。他アプリからは、別々に識別されず、ローカル上にある連絡先としてひとまとめに参照される仕組み。これは他のSNSの連絡先同期でも同じことだ

　このように、「連絡先」が「自分の知らないところで、連絡先上の人の情報が拡散していく」ことは実質的に避けられない。これに悪意あるアプリが介入したらどうなるだろうか。しかも連絡先の参照やSMSの送信機能を備えていた挙句、日本語にバッチリ対応していたら？

　最もポピュラーな被害は、連絡先からSMSまたはメールで、詐欺メッセージや悪意あるアプリのURLが送信されてしまうこと。受け取った相手からすれば、知っている人からの送信なので信用してリンクを開いてしまう可能性が高いし、詐欺の内容も信用してしまう可能性が高い。

水際で気が付けるセキュリティ方法が必要

　では本題に入ろう。Androidを標的にしたマルウェアは、PCのウィルスと同じく、やり口を巧妙に変化させてくるため、連絡先だけを守ればOKというわけではない。明日にはこれまでにないやり方でスマホ内のデータを狙ってくる可能性はおおいにある。

　また野良アプリをインストールしてみたらアウトということもあるし、まだまだ多数派のスマホ初心者やライトユーザーが、Google Playそっくりなフィッシング詐欺サイトに引っかかることもあるだろう。

　またAndroidの仕様として、インストールしたら終わりだ。だから被害を防ぐには、やはりPCと同様にセキュリティ製品が必要になる。もちろん、自身で気をつけるのはもちろんだが、クリティカルエラーになる前に止めてくれるアプリがあれば、安心してスマホライフを楽しめるわけだ。

　紹介するものは、マカフィーの個人向け製品をすべて使用できる「マカフィー オール アクセス 2013」。自分の端末だけでなく、5ユーザー版もあるので、家族全員あるいはSOHOのPCやスマホを保護できる。

　しかもインストール台数は無制限なので、PC・スマホ共に複数台ある場合には特に助かる1本だ。

　今回はAndroidのセキュリティを高めたいので、Android用のセキュリティアプリ「マカフィー モバイル セキュリティ」の導入方法からチェックしてこう。

　まずマカフィーの公式サイト上でログインして、インストールしたいスマホの電話番号を登録。次に、そのスマホにメールでダウンロード先を送信するか、Google Playから入手してインストールする。Google Playからのインストールが最も楽なので、後者をオススメする。

マカフィー モバイル セキュリティ導入方法

1.インストールしたいスマホに、マカフィーサイト上からダウンロードURLを送信し、受信したスマホからリンクを開いたところ

2.規約を読んだら「承諾する」をタップ

3.電話番号を入力したら、PINを入力する。これはマカフィーサイト上で入力したものを、スマホ側でも入力する

4.有効化する前に、どういった制御を行なうかが記載される

5.導入完了。チュートリアルもあるので、念のため、見ておくといい