セキュリティ被害はあなたの半径1m以内でも起きる 第5回

Androidアプリの入手方法やSMSなどに注意

ポケモンGOの偽アプリは本当に簡単に作れる

　ある意味パソコンよりも多くの重要情報を含むのに、意外と重視されていないのがスマートフォンのセキュリティー対策だ。しかしネットワーク接続可能なコンピューターである以上、モバイル端末もパソコン同様のセキュリティー対策が必要だ。

　それではどんな心構えが必要なのか？　iモードの時代からモバイル端末のセキュリティー対策に取り組んできたインテル・セキュリティ（McAfee）に話を聞く。モバイルセキュリティエンジニアリング担当のマネジャー石川克也氏は、2006年の入社以来約10年にわたってモバイル端末のセキュリティー対策に取り組んできた。

　現在はマルチデバイスを守れる「McAfee LiveSafe」に加え、NTTドコモの「あんしんスキャン」や「あんしんナンバーチェック」（迷惑電話対策）、ソフトバンクの「スマートセキュリティ」なども提供している同社に、モバイル端末のセキュリティ対策の歴史と、現在の傾向について聞いた。

モバイル端末のセキュリティー、ひとつの区切りは2010年

──　モバイル端末のセキュリティー対策について、現状や傾向などについて聞かせてください。

石川　当社はモバイルのマルウェア対策について、10年以上取り組んでいますが、2010年ごろを境に爆発的に件数が増えました。原因はAndroidの登場です。Androidスマホが普及したことでエコシステムができ、結果的に狙われやすい状況が発生したのです。モバイル端末のセキュリティーを考えるうえで、ここがひとつの節目となりました。

──　iOSや従来の携帯電話機と比べ、Androidはアプリケーション配布の自由度が高い。その裏返しと言えますか？　Google Playストア以外にもアプリを入手する方法があります。

石川　はい。ただしGoogle Playストアで入手したアプリであれば、マルウェアの心配がないかと言えば、そういうわけでもありません。チェックの目を盗んで、危険なソフトが出てきているのが現実です。

──　先日も非常に早いタイミングで、ポケモンGOの偽物が海外で出て話題になりました。驚くべき早さです。

石川　じつはこういった偽アプリは非常に簡単に作れます。再パッケージングと呼びますが、Androidアプリをダウンロードして少し解析するだけで中身が分かり、ここに新たなコード、悪質なコードを追加することは容易です。これを再パッケージして、動作的には全く同様のアプリをGoogle Play以外の第3者のサイトから配布して蔓延させるというパターンが非常に多いですね。

──　特定の地域を狙ったり、由来するアプリが多いのでしょうか？

石川　国を問わず世界中にあります。数が多いのは中国・ロシア・アメリカ・ヨーロッパなどですが、特徴的なのは砂漠しかないような国、あるいはあまりITが発展していない国でもモバイル向けのマルウェアが時々見つかることです。なんでこの地域から……!?　という場所で見つかることもありますが、裏返せばこれは、有線のインフラよりも無線のインフラを先に立てたほうが簡単な地域ということです。

──　パソコン向けのマルウェアよりもモバイル向けのほうが効率よく開発できるというということでしょうか？

石川　それもあります。しかしインターネットが普及していないため、ネットにつなぐデバイスがスマホしかないという場合が多いのではないでしょうか。

マカフィーはFOMAのセキュリティーを支えていた

──　歴史的な経緯を振り返ります。あまり知られていませんが、もともとはスマホ以前、ドコモさんの携帯電話向けに標準で提供していたサービスが始まりですよね。

石川　NTTドコモがiモードを世の中に出すにあたり、必然的にパソコンと同じウイルスが携帯電話の世界でも問題視されるだろうと考えました。そういう先を読んだ考えの方がいらっしゃったこと。同時に私たちもモバイルのセキュリティを開発していこうと考えていました。そんな背景で開発を始めたのが2003年ごろです。最初はiモード向けのセキュリティーを出しました。私自身も2006年の入社以降、NTTドコモ様を担当しています。この分野で10年のキャリアを積むことになりました。

──　御社の場合はASP型、端末型両方を担当しているという理解でいいですか？

石川　そうですね。ただしわれわれコンシューマの部門が担当しているのは、端末に入れて使うものが中心となります。

　FOMA端末向けに関しては、クライアントソフトをインストールするという形ではなく、ドコモと共同でFOMAの電話機の中に設計段階から我々の技術をチップに組み込んだ形で製造していました。Android端末でも一部、ドコモさんとの共同開発の延長で、ドコモ端末だけに非常に強力なコンポーネントを入れていた時期があります。一部はまだ市場に残っていると思います。

──　そして2008～2009年ごろからAndroid端末が市場に出て、モバイルのセキュリティーがより重視されるようになってきました。

石川　Androidの登場で、エコシステムが全く変わりました。

　フィーチャーフォンの世界は垂直統合型のビジネスモデルで、端末の仕様もクローズです。iアプリはダウンロードして追加できる画期的な方法でしたが、キャリアのサーバーにアクセスして入手するもので、アプリ開発に加えて配信まですべてをコントロールできたと言えます。

　一方、Androidの世界は水平統合型というか、完全にオープンな世界になります。端末を作る人、通信業者、アプリケーションを作って提供する人、すべてが別人になっているんですね。ここが大きなパラダイムシフトです。いままでキャリアが１から10までしていたコントロールができなくなった。ここが一番大きな違いでしょう。

日本では詐欺系のアプリがやはり多く

──　セキュリティーというと、特にコンシューマーではウイルス対策ソフトをイメージする人が多いと思います。しかし実際には情報漏えいやフィッシング、あるいはランサムウェアなどでは、ユーザーのリテラシーや使用方法に依存する部分も大きいと思いますが。

石川　国によって若干の違いがあるのですが、日本についていえば、詐欺系のマルウェアが非常に多く、継続しています。アダルトサイトを見たのでお金を払えといった半分脅迫に近い詐欺ですね。それと個人情報を抜くようなものが多いと思います。

　パソコンで爆発的に増えているランサムウェアは、モバイルの分野でも出てきています。今後の注意が必要です。ただ、少し技術的な話になりますが、パソコンの場合はデータを暗号化してしまうパターンが多いのに対して、我々が見つけたモバイル向けのランサムウェアは操作を邪魔してしまうタイプが多いです。スクリーンの上に常にマルウェアの画面が覆いかぶさり、データを参照できなくするといったものです。

──　被害件数やマルウェアの種類については？

石川　マルウェアの数はグローバル全体では、1000万種類を超えていると思います。これは亜種を含みます。モバイルに限定したファミリーにまで絞り込むと、1000系統程度のマルウェアがあることになりますね。国内でも今年に入って日本語対応したランサムウェアが出てきています。あとは架空請求をする詐欺アプリ、出会い系サイトを使った詐欺アプリ、個人情報を抜くようなものが非常に目立つパターンです。

──　マルウェアは一般的なアプリに見せかけたタイプが多いのですか？

石川　2パターンあります。ひとつは本当にマルウェアという形で、主に第3者のサイトからダウンロードさせて非常に悪質なことをするパターンです。もうひとつは商用アプリとして提供されていて、必要以上に個人情報を取ってしまうパターンですね。スパイウェアやアドウェアと呼ばれるグレーなものです。広告モジュールを組み込んでいて、そのモジュールが端末の中にある情報を抜き出してしまう。ピンポイントの広告を打つために使うものですが、それをユーザーに告知せずに使用する点に問題があります。

──　バックドア的なものは？

石川　非常に多いです。個人情報を盗むものはほぼバックドアとして、リモートのサイトに勝手につながって情報をアップロードしてしまいます。もうひとつ、これはポケモンGOの偽アプリがそうだったのですが、遠隔管理ツール（Remote Admin Tool）を組み込むことによって、トロイの木馬型のバックドアとしてサーバーに情報を上げたり、遠隔サーバーから端末を操作してしまうパターンです。古典的な方法です。

──　スマホもネット接続する、コンピューターである以上は避けられないですね。

石川　iOSに関しても最近フィッシングが見つかりました。SMSが飛んできて、そこに短縮URLが書いてあり、クリックして開いたサイトに、Apple IDの有効期限が切れているので入力するよう促されます。更新しようとすると、Appleのサイトに非常によく似たサイトに飛び、パスワードを盗まれてしまいます。

──　こういった場合、とび先のURLを確認することである程度予防できるのでしょうか？

石川　はい。しかし短縮URLなので、見ただけでは非常に判断が難しいです。

──　スマホのアドレスバーなどで改めて確認しないといけないわけですね。

石川　スマホはPCと比べてURLの表示スペースが狭く、確認が難しいという面がありますね。偽サイトは日本語化もされています。OSの言語で自動的に切り替わります。

IoT時代も到来、LTEやWi-Fiだけでなく、Bluetoothなど接続方法への配慮を

──　モバイル端末を対象とした脅威についてどんな印象を持っていますか？

石川　日々更新した.datファイルを配信するぐらい新しい問題が発見されています。しかし実際には、iPhoneやAndroid端末について、いまのところ我々が予測していたほどの被害は出ていません。例えば端末自体の通信手段は、3GやLTEだけではなく、Wi-FiもあればNFC、Bluetoothがあります。かつては赤外線もあった。接続手段が非常に多いのです。

　当初はそこをひとつひとつ塞ぐ必要があると思っていました。

　しかし、AndroidについてはOS自体のセキュリティーが強力でアプリケーションやトロイの木馬以外のマルウェアはなかなかありません。Bluetoothをつっついて拡散するといったことは技術的に難しくなっています。ただし、スマートウォッチなど別のタイプのデバイスが出てきて、セキュリティー対策が甘いものが出てきた場合には注意しないといけないでしょう。

──　IoT的なものですね。街中に危険な場所が作られて、通過した人の情報がどんどん奪われる可能性もありますね。

石川　実際そういう事例もありました。スキミングをするもので、独自に作った端末で周囲の人の情報を抜く、あるいはダミーの基地局を作って自動車に積み、周囲の携帯電話の情報を抜くといったことも起きています。通話記録含めてすべての情報が奪われてしまいます。同じようなことはBluetoothやWi-Fiでもできてしまいます。

──　宅内のルーターだったり、クラウドだったりとか。鍵なども怖いですね。

石川　IoTの末端はコスト重視になるでしょうから、セキュリティが高くても高価では意味がないということになりそうです。

古典的な対策は現在でも有効

──　それではモバイル端末を守るうえで注意したい三ヵ条を教えてください。

石川　　モバイルに関して言うと、まずは繰り返しになりますが、アプリを正規のところからダウンロードするのが一番ですね。これを守っていればリスクはかなり避けられると思います。加えてLiveSafeなどのアプリケーションを入れていただければ万全です。これを踏まえて以下の3つが挙げられると思います。

　特に3つ目は、フィッシング対策となります。SMSに書かれたリンクを容易にクリックしないよう気を付けてください。

──　そういう意味では古典的な対策が求められているわけですね。

石川　はい。これだけでもかなりの部分が防げます。一番安くて効果的な方法ですし、心構えに近いと言えるかもしれません。

──　最後のフィッシングメールについて、SMSだけでなく一般的なメールでも知り合いのアドレスをCcに入れて巧妙にだますなど、アイデア勝負というか心理戦みたいなものがあります。難しいですね。

石川　われわれがやらないといけないのは、後追いではなく予測していくことです。新しいデバイスや追加の機能、モバイルだけでなくIoTのデバイスなどもあります。IoTについてはクライアントで守れるものもあれば、できないものもあります。どう守るかについても考えなければなりません。

──　本日はありがとうございました。