ポケットにスマートフォンを入れたままタイムトラベルをしたとします。中世の農民が初めてこのデバイスを目にしたら、当然、興味を持つでしょう。そのとき、農民にスマートフォンの仕組みを説明できますか。スマートフォンは仕組みを知らなくても簡単に使えるため、ほとんどの人は説明できないでしょう。そして、これこそまさに問題の原因になっているのです。中世の農民と同じように技術的知識のない消費者は、最新テクノロジに精通した犯罪者にとって格好の標的です。そのため、最近のサイバー犯罪では特に、Androidスマホに利用されているLinuxカーネルという技術コンポーネントをベースにした新しい戦術(英文)が使われるケースが増えています。
その手法を理解するには予備知識が必要です。まず、ソフトウェアは複数の層で構築されています。家を建築する方法を思い浮かべてください。屋根は壁、足場、基礎によって支えられています。Androidなどのオペレーティングシステムも同じです。つまり、AndroidデバイスではLinuxカーネルが基礎の層となり、それによって、アプリケーションとデバイスのハードウェアの通信方法が定義されます。
そのため、サイバー犯罪者はLinuxカーネルを悪用できれば(英文)、直接携帯電話を悪用できます。これはユーザーのデバイスに不正な命令を送信するためにWebサイトに侵入していた従来の攻撃に比べると格段に進歩しています。この新しい方法ならそのような方法は必要ありません。Webサイトを経由しなくてもデバイスのふるまいを変更することができるのです。
これは何を意味するのでしょうか。たとえば、見たこともないWebサイトが表示されることがあります。その保護されていないWebサイトに突然、ログインプロンプトが表示されます。ユーザー名とパスワードを入力すると、その情報が犯罪者の手に渡る仕組みになっています。犯罪者はユーザーのデバイスのソフトウェアを悪用して、デバイスのふるまいを制御していたのです。専門家は、Linuxカーネルの問題はAndroidスマホの80%までに影響を与える可能性があると推定しています。それは14億台のデバイスに相当します(英文)!
パニックが起こらないよう、Androidスマホを安心して使用するための重要な注意点(英文)をお教えしましょう。まず、犯罪者は単純にスマホにリモートアクセスすることはできません。そのような不正行為を行うには、Webサイトやメッセージ、ニュースフィードの共有リンクを悪用して、ユーザーのデバイスからの接続に侵入する必要があります。つまり、IPアドレスと送信元の情報を入手する必要があります。さらに、接続のテストに10秒かかり、不正なコードの注入に45秒かかります。そのため、平均的な市民に対してこのような攻撃が大規模に仕掛けられる可能性はほとんどありません。
また、ユーザー自身が大小のセキュリティ問題を意識することが重要です。ユーザーの知識が多ければ多いほど、より適切に自分自身を保護することができます。たとえば、Linuxカーネルのハッカーがスマホの接続にアクセスする必要があることを知っていれば、その抜け穴を悪用から防御できます。暗号化された通信を使用すれば、最初からサイバー犯罪者の侵入を拒否することができます。Android 端末を保護する方法を含め、ヒントを以下で紹介します。
- モバイルでWebサイトを表示する場合、「https」の「s」があることを確認します。
- 接続の安全を保証するWebトラフィックの標準(英文)はいくつかありますが、すべてのWebサイトが従っているわけではありません。しかし、スマホで安全に利用できるWebサイトを特定することは可能です。Webサイトアドレスが「https」で開始していることを確認するだけです。ブラウザによってはその部分が非表示になっていますが、その場合は通常、サイトが安全であるかどうかを知らせる機能が組み込まれています。
- 評判のよいWebアプリケーションやモバイルアプリを使用します。
- ユーザーもリソースも多い大企業では、アプリケーションの保護が重視されます。たとえば、Gmailではメッセージの内容だけでなく、トランジット接続も暗号化されます。不明な点が多いサードパーティ製のアプリケーションは避けてください。
- Androidは必ず更新します。
- セキュリティの問題が検出されたら、ソフトウェアをアップデートして新しい防御を適用します。Linuxカーネルのように、Androidの古いバージョンではなく新しいバージョンに影響するような問題は例外的なケースです。一般的にはデバイスは常に更新すべきです。暗号化技術が改善された場合は特に、更新は重要です。
そして、もちろん、私とマカフィー公式Twitterをフォローして、消費者とモバイルセキュリティに対する最新の脅威を確認してください。また、マカフィー公式Facebookの「いいね!」もお願いします。
※本ページの内容は 2016年8月19日更新のMcAfee Blogの抄訳です。
原文: 80% of Android Phones Are at Risk! Luckily, People Can Use Encryption for Safety
著者: Gary Davis(Chief Consumer Security Evangelist)
