モバイル 端 末 のセキュリティ モバイル 端 末 のセキュリティ : 現 状 と 今 後 McAfee Labs では スマートフォンなどのモバイル 端 末 の 現 状 を 調 査 し そのセキュリティリスクについて 検 討 しました また 携 帯 端 末 を 巡 る 今 後 の 脅 威 ついて 予 測 を 行 いました Dr. Igor Muttik
デスクトップコンピューターの 保 護 対 策 は 着 実 に 進 歩 しています ハードウェア オペレーティングシス テム アプリケーションの 安 全 性 は 向 上 しています しかし マルウェアが 消 滅 する 気 配 は 全 くありま せん 現 在 スマートフォンやタブレットなどのモバイル 端 末 が 急 速 に 普 及 していますが これらの 携 帯 端 末 のセキュリティは 万 全 なのでしょうか デスクトップコンピューターで 積 み 重 ねた 経 験 や 知 識 を 活 用 すれば 新 しいモバイル 端 末 の 安 全 性 もいくらかは 確 保 されるでしょう このレポートでは モバイ ル 端 末 を 巡 る 脅 威 について 詳 しく 分 析 し 問 題 点 について 論 じることにします いたずらに 不 安 を 煽 るつもりはありませんが モバイル 端 末 を 巡 るセキュリティ 問 題 が 緩 和 されることは ありません マルウェア 全 体 の 脅 威 は 低 下 するかもしれませんが モバイル 端 末 に 対 する 被 害 は 大 き なものとなります スマートフォンはほぼ 常 時 接 続 された 状 態 であり 個 人 情 報 も 記 録 されています 小 型 カメラやマイクロフォン GPS などの 機 能 も 搭 載 されています まるで 昔 の 映 画 に 出 てくるスパイの ようです デスクトップ (ノート PC やラップトップ) に 比 べると 組 み 込 み 機 器 の 選 択 肢 が 広 いため オペレーティングシステム (OS) やアプリケーションは 複 雑 になり 攻 撃 を 受 ける 機 会 も 増 えています ios や Android など 代 表 的 な OS のコア 部 分 には Unix/Linux が 使 用 されています システムは 比 較 的 安 全 なはずですが 市 場 の 競 争 原 理 のため セキュリティよりも 市 場 投 入 までの 時 間 が 優 先 され コアドライバやアプリケーションを 十 分 にテストしないまま 出 荷 されるケースも 少 なくありません 同 じ 問 題 はファームウェアや OS の 更 新 を 実 装 する 場 合 にも 発 生 しています このため 攻 撃 によって 大 きな 被 害 を 受 ける 可 能 性 があります この 数 年 間 にデスクトップコンピューターで 確 認 された 脅 威 の 殆 どがモバイル 端 末 でも 発 生 する 可 能 性 があります 寄 生 型 ウイルスは 例 外 です ( 詳 細 は 後 述 します) 残 念 ながらモバイル 環 境 でも 同 じ 脅 威 が 繰 り 返 されることになるでしょう また デスクトップにはないスマートフォン 固 有 の 機 能 を 狙 う 新 種 のマルウェアも 出 現 する 可 能 性 があります このレポートでは モバイル 端 末 とスマートフォンを 同 じ 意 味 で 使 用 しています モバイル 端 末 はより 広 い 意 味 で 携 帯 ゲーム 機 リーダー タブレットなども 含 まれます 同 じ 機 能 が 様 々な 端 末 で 使 用 さ れています 現 在 の 携 帯 電 話 は 特 化 した 端 末 よりも 多 くの 機 能 を 提 供 しています 2
目 次 モバイル 端 末 の 特 性 4 これまでの 環 境 7 Android 8 ios Windows Phone 7 など 12 エコシステムの 現 状 と 今 後 12 変 化 と 予 測 16 結 論 26 謝 辞 27
モバイル 端 末 の 特 性 移 動 性 が 脆 弱 性 に モバイル 端 末 は 持 ち 運 びを 前 提 とする 機 器 です 紛 失 や 盗 難 の 可 能 性 は 高 くなり 肩 越 しに 画 面 やキー ボードが 覗 かれることもあります 端 末 を PIN 番 号 やパスフレーズで 保 護 していても 攻 撃 者 がその 気 になれば 入 力 中 に PIN 番 号 を 覗 き 見 ることなど 造 作 もないことです ほんのわずかな 油 断 でも 携 帯 端 末 を 危 険 にさらすことになります 1 多 機 能 なスマートフォンがあれば 複 数 の 機 器 を 持 ち 運 ぶ 必 要 はなくなります このようなスマートフォン は 機 能 だけでなく 価 格 も 高 額 です 犯 罪 者 が 目 をつけても 不 思 議 はありません ハードウェア 自 体 も 高 価 ですが 端 末 に 記 録 されているデータを 狙 う 犯 罪 者 が 増 えています ハードウェアよりもはるかに 価 値 のあるデータが 記 録 されていることも 少 なくありません 盗 まれた 端 末 の 再 販 を 防 ぐ 対 策 も 実 施 されています 携 帯 電 話 会 社 は 端 末 の 盗 難 や 紛 失 の 届 け 出 を 受 けると IMEI(International Mobile Equipment Identity)で 端 末 を 識 別 し 使 用 を 停 止 します しかし このような 処 置 が 行 われていない 国 もあります IMEI の 改 ざんも 可 能 ですが 国 によってはこのよう な 端 末 の 所 持 は 違 法 行 為 になります 端 末 の 価 格 は 年 々 下 がっていますが データの 価 値 はそれに 反 比 例 しています 多 くの 場 合 端 末 の 部 品 よりも 記 録 されているデータのほうが 高 くなっています オンラインバンキング ( 近 距 離 無 線 通 信 を 含 む) や 仕 事 ( 企 業 秘 密 設 計 図 ロードマップ 特 許 文 書 などの 保 存 ) でスマートフォンを 使 用 するユーザーが 増 えれば この 価 値 はさらに 増 していきます バッテリー 駆 動 モバイル 端 末 は 定 期 的 に 充 電 が 必 要 です 無 線 ネットワークや 通 話 などの 操 作 を 行 うとバッテリーの 消 費 が 速 くなります バッテリーを 節 約 するために 携 帯 電 話 は 節 電 モードに 入 ります このモードに 入 ると ソフトウェアはタイマーを 使 用 して 定 期 的 に 起 動 し 必 要 な 処 理 を 実 行 します 節 電 モードへ の 切 り 替 えを 防 ぐアプリケーションもあります 効 率 の 悪 いソフトウェアもバッテリーの 消 費 を 早 めます 当 然 のことながらマルウェアも 電 力 を 消 費 します SymbOS/Cabir ワームや SymbOS/Commwarrior ワー ムなどは 拡 散 するために Bluetooth を 頻 繁 に 使 用 しています マルウェアの 作 成 者 の 多 くは 正 規 のソフトウェアメーカーのようにユーザーの 操 作 性 を 気 にしません このため マルウェアは 頻 繁 に 起 動 し バッテリーの 消 費 が 速 くなります 例 外 もあります APT (Advanced Persistent Threat) のよう に 長 期 間 潜 伏 するマルウェアは ユーザーに 怪 しまれないようにするためバッテリーの 消 費 を 抑 えてい ます マルウェアの 作 成 者 は 消 費 電 力 の 多 い 操 作 を 実 行 せず マルウェアの 生 存 期 間 を 長 くしよう とします 長 期 間 存 在 させることが 攻 撃 者 の 目 標 になっていることもあります BlackHat 2011 で ある 研 究 者 がバッテリーファームウェアに 侵 入 し サービス 拒 否 (DoS Denialon-Service) によってバッテリーを 完 全 に 消 費 して 機 能 不 能 にしました 2 このようなマルウェアが 緊 急 時 の 対 策 チームを 狙 ったらどうなるでしょう リモートから 制 御 可 能 なボットネットやサイバー 戦 争 用 の APT がリモートからの 命 令 に 従 ってバッテリの 消 費 に 成 功 すると 攻 撃 を 受 けたチームは 便 利 な 通 信 手 段 を 失 うことになります 一 回 の 攻 撃 ですべての 通 信 手 段 を 失 うかもしれません 1. http://www.pcworld.com/article/219245/iphone_attack_reveals_passwords_in_six_minutes.html 2. http://www.v3.co.uk/v3-uk/news/2099616/black-hat-charlie-miller-explains-apple-battery-hack 4
GPS 所 有 者 の 追 跡 多 くのモバイル 端 末 には GPS ( 全 地 球 測 位 システム) 機 能 が 搭 載 されています アプリケーションはこ の 機 能 を 使 用 して 端 末 の 現 在 位 置 を 取 得 し 位 置 情 報 サービス (ローカルマップの 表 示 撮 影 場 所 付 きの 写 真 など) を 提 供 しています 当 然 のことながら ソフトウェアは 端 末 と 端 末 の 現 在 位 置 を 認 識 しています この 情 報 が 外 部 に 流 出 すれば 不 正 な 目 的 に 利 用 されることは 明 らかです 実 際 に 位 置 情 報 を 悪 用 するマルウェア (GPS Spy TapSnake) がAndroid で 見 つかっています 端 末 所 有 者 のプ ライバシーを 保 護 し GPS データの 使 用 を 制 限 しなければなりません ios や Android など 現 在 の モバイル 端 末 用 OS には GPS データへのアクセスを 制 限 する 機 能 が 搭 載 されています アプリケーションや OS で GPS データが 適 切 に 処 理 されていないと プライバシーが 簡 単 に 侵 害 される 恐 れがあります iphone では GPS 情 報 が consolidated.db というファイルに 保 存 されていることが 判 明 しました このファイルは 暗 号 化 されておらず 同 期 操 作 でデスクトップに 転 送 され 誰 でも 参 照 できる 状 態 でした これはプライバシーの 点 で 重 大 な 欠 陥 であり Apple もすぐに 修 正 を 行 うと 発 表 しています Veracode の Tyler Shields 氏 が BlackBerry の 位 置 情 報 を 追 跡 するスパイアプリのデモを 行 っていますが 3 このような 機 能 を 悪 用 したマルウェアが 有 名 人 の 誘 拐 に 利 用 されるかもしれません Foursquare などのソーシャルネットワークシステムでは 位 置 情 報 を 利 用 しています このようなサービ スを 利 用 するために GPS データの 自 動 共 有 が 必 要 になるかもしれませんが 自 動 共 有 を 選 択 した 時 点 でプライバシーの 保 護 はないものと 考 えるべきです 4 プロバイダーがハッキングされて 追 跡 データが 流 出 すれば プライバシーは 確 実 に 侵 害 されます モバイル 端 末 は GPS 機 器 を 搭 載 していなくても 位 置 情 報 を 保 持 しています ネットワークでは 端 末 が 接 続 している 基 地 局 を 認 識 しています GPS の 位 置 情 報 に 比 べれば 正 確 ではありませんが ある 程 度 の 誤 差 (100m 程 度 )で 端 末 の 位 置 を 特 定 することができます このデータを 利 用 できるのは OS だけで OS の 脆 弱 性 を 悪 用 して 権 限 の 昇 格 を 行 わない 限 り アプリケーションからこのデータにアクセスするこ とはできません OS の 制 御 で GPS 機 器 を 無 効 にすることも 可 能 ですが このようなネットワークデータ が 存 在 するため 100% 効 果 があるとは 言 えません 泥 棒 の 追 跡 理 論 的 には 端 末 の GPS を 利 用 すれば 盗 まれた 端 末 の 追 跡 は 可 能 です 盗 まれた 端 末 を 追 跡 する には GPS データをリモートに 記 録 する 必 要 があります このような 機 能 が 端 末 に 搭 載 されていれば 端 末 の 追 跡 は 可 能 ですが この 行 為 は 所 有 者 のプライバシーを 侵 害 することになりかねません この 矛 盾 を 解 決 するには 端 末 所 有 者 を 確 実 に 識 別 する 方 法 が 必 要 です ユーザーの 識 別 には 一 般 に PIN 番 号 やパスフレーズが 使 用 されていますが これでは 不 十 分 です 生 体 認 証 が 適 切 な 方 法 でしょうが 手 頃 な 価 格 になるまではまだ 数 年 はかかるでしょう カメラとマイク スマートフォンでは 写 真 や 動 画 を 撮 影 したり 音 声 を 記 録 することができます この 機 能 は 携 帯 用 ゲー ム 機 やタブレットにも 搭 載 されています これらの 端 末 はソフトウェアで 制 御 されているため ユーザー に 気 付 かれずにカメラやマイクを 起 動 させることもできます 殆 どの OS でカメラと 録 音 機 能 を 無 効 にすることができますが OS に 存 在 する 脆 弱 性 を 悪 用 すれば ハードウェアの 制 御 権 限 を 取 得 し ユーザーやその 周 辺 を 撮 影 したり 録 音 することも 可 能 です この ような 脆 弱 性 は 定 期 的 に 見 つかり 悪 用 されています 5 通 話 内 容 を 記 録 して 別 の 場 所 に 送 信 するトロ イの 木 馬 も 確 認 されています 6 また 捜 査 当 局 も 犯 人 が 所 持 するスマートフォンで 音 声 や 画 像 を 取 得 し 追 跡 を 行 うかもしれません 3. http://www.veracode.com/blog/2010/02/is-your-blackberry-app-spying-on-you 4. http://en.wikipedia.org/wiki/foursquare_(website) 5. http://www.cs.ncsu.edu/faculty/jiang/gingermaster/ 6. http://blogs.mcafee.com/mcafee-labs/latest-android-malware-records-conversations 5
マルチ CPU (マルチコア) の 影 響 スマートフォンなどの 携 帯 端 末 は ユーザーへのサービス 提 供 ( 画 面 キーボード アプリケーション) とベースバンド 通 信 (GSM 3G) の 管 理 を 行 います 後 者 はリアルタイムに 処 理 する 必 要 がありま す 受 信 または 送 信 データが 迅 速 に 処 理 されないと 通 信 障 害 が 発 生 し 機 能 性 が 著 しく 低 下 します この 問 題 を 解 決 するため 端 末 で 2 つのプロセッサーを 使 用 している 場 合 があります システムオンチッ プ(SoC System-on-Chip) バンドルとして 実 装 され 1 つの SoC チップで 複 数 のサブシステムを 実 行 している 場 合 もあります 今 後 は グラフィック 処 理 やセキュリティ 用 の SoC コアを 追 加 するなど 機 能 分 割 が 進 むものと 思 われます このような 設 計 では CPU のサブシステムが 隔 離 されるため 安 全 性 の 点 では 問 題 が 生 じます Ralf- Philipp Weinmann はベースバンド CPU (HTC の Qualcomm CPU iphone の Infineon) に 対 する 攻 撃 に 成 功 しました 7 また 不 正 な Bluetooth による 通 信 サブシステムへの 侵 入 が 別 の CPU (また は 専 用 コア) で 実 行 されているセキュリティソフトウェアには 検 知 されない 可 能 性 があります 8 各 CPU が 個 別 に 攻 撃 を 受 けると 検 出 は 非 常 に 困 難 になります その 他 のモバイル 端 末 タブレット 現 在 のタブレットは 2 3 年 前 のラップトップよりも 強 力 です キーボードがないため テキストの 編 集 プログラミング デザインなどの 操 作 には 不 向 きですが Web の 閲 覧 は 快 適 に 行 うことができます し かし マルウェアの 感 染 源 として 最 も 多 いのが Web です マルウェアは ブラウザーとそのプラグイン (Acrobat Flash Java など) の 脆 弱 性 を 悪 用 してコンピューターに 侵 入 します この 現 象 はタブレット でも 同 様 です タブレットを 他 のモバイル 端 末 と 別 個 に 扱 う 必 要 はありません 画 面 のサイズは 異 なりますが ソフトウェ ア OS CPU は 他 の 端 末 と 同 じものが 使 用 されています セキュリティに 関 する 問 題 もほぼ 同 じです 唯 一 の 違 いは 一 部 のタブレット ( 東 芝 Thrive など) が USB のホストとして 機 能 する 点 です このよう な 端 末 は 攻 撃 を 受 ける 可 能 性 が 高 くなります スマートメディア プレーヤー (MP3 動 画 ) 通 常 音 楽 プレーヤーにはブラウザーが 搭 載 されていないため マルウェアに 感 染 する 機 会 は 大 幅 に 減 少 します しかし ネットワーク 機 能 が 搭 載 され プログラミングが 可 能 な 端 末 になると 様 相 は 異 な ります このような 環 境 はマルウェアの 攻 撃 を 受 ける 可 能 性 があります 重 要 なデータが 保 存 されていることはないため 音 楽 プレーヤーは 攻 撃 者 にとって 魅 力 的 な 存 在 ではあ りません 音 楽 や 動 画 は 簡 単 に 海 賊 版 を 作 成 できるため これらのデータを 盗 み 出 すマルウェアはほ とんど 使 用 されません しかし デジタル 著 作 権 管 理 (DRM Digital Rights Management) による 制 限 が 普 及 すると 状 況 は 変 わるでしょう 音 楽 映 画 ゲームなどのエンターテイメントを 狙 う 攻 撃 者 も 増 えてくると 思 われます この 攻 撃 では DRM に 未 対 応 で 価 値 のあるメディアが 保 存 されている 端 末 が 標 的 になるでしょう また ハードウェアの 脆 弱 性 を 悪 用 したり キー 配 布 時 の 中 間 者 攻 撃 (MITM man-in-the-middle) でDRM 自 体 が 狙 われる 可 能 性 もあります このような 端 末 が 悪 用 され コンピューターやネットワークに 侵 入 される 可 能 性 もあります ネットワー クを 介 してリモートから 侵 入 を 試 みるよりも MP3 プレーヤーを 介 してコンピューターに 侵 入 するほうが 簡 単 でしょう LNK の 脆 弱 性 を 悪 用 して USB スティックの 挿 入 時 に 自 動 的 に 実 行 される W32/Stuxnet と 同 様 の 攻 撃 が 発 生 するかもしれません メディアプレーヤーは USB スティックよりもインターフェース が 使 いやすいため 攻 撃 を 受 ける 可 能 性 は 高 くなります メディアプレーヤーを 悪 用 してマルウェアの 検 出 を 回 避 したり マルウェアの 散 布 が 行 われる 可 能 性 も あります ワームは 使 用 可 能 なストレージに 自 身 のコピーを 作 成 して 拡 散 を 試 みます USB スティック と 同 様 に メディアプレーヤーを 介 してマルウェアが 散 布 される 可 能 性 があります 感 染 した USB スティッ クでマルウェアが 拡 散 した 事 例 はよく 知 られていますが 同 様 のことがメディアプレーヤーやタブレットで 発 生 しても 不 思 議 はありません 手 元 にメディアプレーヤーがあれば コンピューターに 接 続 してみよう と 思 うのは 自 然 なことです 7. http://blogs.mcafee.com/enterprise/mobile/27th-chaos-communications-congress-mobile-security-and-more 8. http://www.technologyreview.com/computing/35094/ 6
携 帯 ゲーム 機 ゲーム 機 は 基 本 的 にコンピューターと 同 じです 多 くのゲーム 機 がネットワークに 対 応 し インターネット 接 続 を 行 います 任 天 堂 DS やソニー PSP など 携 帯 ゲーム 機 には 他 のモバイル 端 末 よりも 危 険 な 機 能 が 存 在 します これらのゲーム 機 では 複 数 のユーザーが 参 加 するゲームに 対 応 するため デバイ ス 間 の 直 接 接 続 を 可 能 にする P2P 機 能 が 搭 載 されています Cabir ワームが Symbian プラットフォーム に 拡 散 したように この 接 続 でプログラムの 転 送 が 可 能 になれば ワームの 実 装 は 非 常 に 簡 単 です P2P 通 信 がデータ 通 信 に 限 定 されていても 脆 弱 性 が 悪 用 されてリモートからコードが 実 行 されたり ウイルスが 増 殖 する 可 能 性 があります 新 しいゲーム 機 にはゲーム 以 外 の 機 能 も 搭 載 されています PlayStation Vita には 3G Wi-Fi Bluetooth GPS カメラ 録 音 機 能 が 搭 載 されています 9 ゲーム 機 とモバイル 端 末 の 差 はなくなり つつあります 端 末 の 多 様 性 モバイル 端 末 には 様 々な 種 類 があるため マルウェアが 急 速 に 拡 大 することはありません 多 くの ハードウェアモデルと OS が 存 在 し 標 的 が 多 岐 にわたり 攻 撃 に 時 間 や 手 間 が 掛 かります しかし ハードウェアとソフトウェアの 両 面 で 統 合 と 標 準 化 の 動 きが 加 速 しています 最 近 のニュースによると Android の 次 期 バージョンである Ice Cream Sandwich ( 携 帯 電 話 と 端 末 の 両 方 に 対 応 する Android OS) とWindows 8 (マルチタッチスクリーンと ARM CPU に 対 応 ) はこの 流 れを 汲 んでいます デスクトップ PC の Windows のように 標 準 化 が 進 むと 攻 撃 の 対 象 や 規 模 が 一 気 に 広 がります 多 様 性 のある 環 境 では 大 規 模 な 攻 撃 が 発 生 することはありませんが 標 的 を 限 定 した 攻 撃 は 可 能 で す 標 的 が 限 定 されるため 攻 撃 者 は 有 名 人 を 直 接 攻 撃 したり マルウェアの 潜 伏 期 間 を 長 くして 見 返 りを 増 やそうとします この 攻 撃 では ステルス 機 能 (ルートキット) だけでなく 検 出 や 駆 除 を 回 避 する 技 術 が 重 要 な 役 割 を 果 たします これまでの 環 境 モバイル 端 末 は 当 初 からマルウェアの 攻 撃 対 象 になっています Symbian OS に 対 する 概 念 検 証 から 感 染 が 始 まり その 後 マルウェアによるリスクが 急 速 に 拡 大 しました Symbian マルウェア スマートフォンが 最 初 に 登 場 したのは 1996 年 から 1997 年 で Nokia と Ericsson が 開 発 しました スマー トフォンとして 販 売 されたのが 2000 年 頃 で まもなく Symbian OS が 標 準 装 備 になりました 当 時 は 殆 どの 携 帯 電 話 にこの OS が 搭 載 され ピーク 時 には 3 億 5 千 万 台 以 上 の 端 末 に Symbian がインストー ルされています モバイル 端 末 を 攻 撃 する 最 初 のマルウェアは Symbian OS の 脆 弱 性 を 利 用 しました Symbian 以 前 は Palm OS のマルウェアがわずかに 存 在 する 程 度 です 10 Symbian 端 末 のソフトウェアは ソフトウェアインストールスクリプト (SIS) パッケージとして 提 供 されます これらのパッケージは インターネットからのダウンロード 電 子 メール SMS Bluetooth 赤 外 線 SD カード PC 接 続 無 線 などの 手 段 で 配 布 されます 11 最 初 にウイルスが 報 告 されたのは 2004 年 で Cabir という Symbian ワームが Bluetooth 経 由 で 散 布 されました 12 Cabir の 後 多 くのマルウェアファミリーが 出 現 しました その 大 半 はトロイの 木 馬 です 2004 年 以 降 数 百 種 類 のマルウェアを 確 認 しましたが その 殆 どがインターネット 経 由 で 拡 散 してい ます 9. http://en.wikipedia.org/wiki/playstation_vita 10. http://www.mcafee.com/threat-intelligence/malware/default.aspx?id=98801 11. http://www.developer.nokia.com/community/wiki/deploy_sis_file_on_hardware 12. http://www.f-secure.com/weblog/archives/archive-012006.html 7
J2ME マルウェア J2ME (Java ME JME ともいう) は モバイル 端 末 と 組 み 込 みシステム 用 に 開 発 された Java ベースの プログラミング 環 境 です 13 一 時 期 この 環 境 を 使 用 する 端 末 は 20 億 を 超 えていましたが 現 在 で は J2ME の 代 わりに Android などの 最 新 の OS が 使 用 されています Android のコア 部 分 は J2ME と 同 じく Java をベースにした 仮 想 マシンです J2ME は 2006 年 から 2010 年 にかけて 急 速 に 広 まりました これに 伴 い このプラットフォームを 攻 撃 するマルウェアも 増 加 しています この 中 で 特 に 目 立 ったマルウェアは 高 額 通 話 料 金 の 番 号 に 電 話 をかけて SMS を 送 信 するトロイの 木 馬 です 14 J2ME マルウェアの 数 が Symbian マルウェアの 数 を 超 える 時 期 もありました 15 多 くの Java マルウェアは 特 定 の 言 語 を 使 用 するトロイの 木 馬 で ロシア 語 の ものが 主 流 でした ロシアの 電 気 通 信 業 界 に 厳 しい 規 制 がなかったことが 原 因 のようです 最 初 に 見 つかった Android マルウェア (FakePlayer.A) は 高 額 通 話 料 金 の SMS を 送 信 する J2ME のトロイの 木 馬 と 同 じでした 既 存 のコードを Android 用 に 変 更 し 再 度 コンパイルしたようです Android Android について 少 し 詳 しく 見 てみましょう Android は モバイル 端 末 用 の OS の 中 で 急 速 に 普 及 し ている OS で Android を 攻 撃 するマルウェアも 数 多 く 見 つかっています ユニークな 存 在 Android は 市 場 でユニークな 位 置 を 占 めています この OS は 無 料 で 提 供 されているため 費 用 の 点 で 魅 力 的 です ベンダーや 携 帯 電 話 会 社 は Android ベースの 端 末 を 販 売 することでより 多 くの 収 益 を 得 ることができます この OS はオープンソースで 新 しい 端 末 に 合 わせて 簡 単 にカスタマイズできま す Android が 市 場 を 席 巻 しても 不 思 議 はありません Android は 急 速 に 成 長 したスマートフォン 用 の OS です 最 初 にリリースされたのは 2008 年 で すで にマーケットで 第 一 位 になっています 図 1 は 2010 年 末 時 点 での OS のマーケットシェアを 表 してい ます 3% Windows Mobile 3% RIM 14% Android 33% Apple 16% Symbian 31% 図 1: Android OS はわずか 4 年 でスマートフォン 市 場 でトップの OS となる 13. http://en.wikipedia.org/wiki/java_platform,_micro_edition 14. http://www.securelist.com/en/analysis/204792080/mobile_malware_evolution_an_overview_part_3 15. http://www.securelist.com/en/analysis/204792080/mobile_malware_evolution_an_overview_part_3 8
Android の 競 合 製 品 も 負 けてはいません Android への 対 抗 策 として 法 的 な 障 壁 で 囲 い 込 みが 始 まり ました 16 Android は モバイル 端 末 市 場 でシェアを 占 めているだけではありません この 四 半 期 は 新 しい マルウェアの 数 でも Symbian を 上 回 りました 13% J2ME 8% Symbian 47% Android 32% 図 2: マルウェア 作 成 者 の 間 で 最 も 人 気 があるモバイル OS は Symbian だったが この 点 でも Android の 勢 いが 優 っている 図 2 で 分 かるように 過 去 からの 累 計 では Symbian のマルウェアが Android のマルウェアの 数 を 上 回 っ ています しかし 直 近 の 四 半 期 に 限 ると Android がトップになっています BlackBerry 6% 4% Symbian 7% Java ME 20% Android 63% 図 3: 2011 年 第 2 四 半 期 の 結 果 Android マルウェアの 量 は 他 のモバイル OS を 大 きく 引 き 離 している 17 このようにマルウェアが 急 増 した 背 景 には 配 布 方 法 の 変 化 があると 思 われます これまで ワームは 端 末 間 で 拡 散 を 試 みました Cabir ワームは Bluetooth 経 由 で 拡 散 しました しかし この 方 法 では 狭 い 範 囲 内 に 大 勢 のユーザーが 存 在 し 転 送 に 同 意 しなければなりません あるいは Nokia のサイト (あるいは Symbian プログラムを 配 布 する 別 のサイト) からマルウェアをダウンロードする 必 要 があり ました 16. http://googleblog.blogspot.com/2011/08/when-patents-attack-android.html 17. http://www.mcafee.com/us/resources/reports/rp-quarterly-threat-q2-2011.pdf 9
殆 どの 感 染 はアプリケーションマーケットやストア 経 由 で 発 生 しています 世 界 的 な Android マーケット プレイスだけでなく 特 定 の 国 でのみ 有 名 なサイトもあります 最 近 は Android マルウェアが 数 多 く 出 現 しています ( 詳 細 については McAfee Virus Information Library 18 を 参 照 ) セキュリティモデル Android のセキュリティモデルは 簡 単 です インストール 時 にアプリケーションが 必 要 なアクションのリス トを 宣 言 します 19 ユーザーはこの 要 求 を 承 認 または 拒 否 します ( 選 択 された 権 限 は 拒 否 できません ) 承 認 すると インストール 後 に 宣 言 された 制 限 が 実 施 されます 拒 否 すると インストールが 終 了 します インスールの 実 行 後 やランタイムに 権 限 の 制 御 ( 拒 否 または 承 認 ) を 行 うことはできません このモデルは 次 の 3 つの 問 題 点 があります 正 しい 選 択 を 選 ぶかどうかはユーザーによる 技 術 に 詳 しい 人 物 が 見 ても 権 限 説 明 の 多 くは 意 味 不 明 なものが 多 い プログラムが 必 要 以 上 の 権 限 を 要 求 する 多 くのユーザーはこのような 例 外 に 慣 れている プログラムが 本 当 に 必 要 であればユーザーは 権 限 を 承 諾 してしまう 攻 撃 者 はここに 目 を 付 け ソー シャルエンジニアリングによる 攻 撃 を 行 う セキュリティ API Android は 端 末 管 理 用 の API を 提 供 していません パスワード /PIN 番 号 ポリシーを 管 理 し リモート からの 消 去 を 実 行 する 必 要 があります 20 このセットは 非 常 に 限 定 的 で セキュリティ 製 品 の 構 築 には 役 に 立 ちません Android が OS コアにある 汎 用 のセキュリティ API 標 準 セットをサポートすることは 非 常 に 有 効 です カー ネルメモリーへのアクセスを 許 可 し ファイル I/O やネットワークデータフローを 簡 単 に 傍 受 できます このようなアクセスが 可 能 なアプリケーションには 特 別 な 方 法 で 署 名 を 行 う 必 要 があります また OS API に 暗 号 認 証 を 組 み 込 むと セキュリティアプリケーションは OS から 受 信 したデータが 改 ざんされて いないことを 確 認 し 信 頼 することができます これにより Android 端 末 でのルートキットの 問 題 を 軽 減 し MITM (man-in-the-middle) 攻 撃 を 阻 止 することができます 弱 点 DefCon 2011 で Android の 設 計 上 の 欠 陥 がいくつか 報 告 されました 21 API の 説 明 に 矛 盾 があったり 説 明 が 欠 けている 部 分 があるため 開 発 者 が 間 違 った 選 択 を 行 う 可 能 性 があります これは アプリケーションのセキュリティに 影 響 を 及 ぼします Android 2.2 では 1,207 の API の 中 で 78 しか 文 書 化 されていません また この 中 の 6 つは 記 述 に 誤 りがあります Android でのプロセス 間 メッセージングは 明 示 的 ( 受 信 者 の 名 前 を 指 定 ) または 暗 黙 的 ( 特 定 の 対 象 のないカスタムメッセージ my.special.action など)で 行 います このため マルウェアによるメッセー ジの 盗 聴 や 改 ざんが 可 能 になり 情 報 窃 盗 や DoS 攻 撃 が 実 行 される 可 能 性 があります ストレージ (SD カード) は 誰 でも 読 み 取 り 可 能 です ファイルとフォルダー 名 は これらを 作 成 したア プリケーションを 削 除 した 後 や 端 末 のデータを 完 全 に 消 去 した 後 も 残 ります 必 要 以 上 の 権 限 を 要 求 するアプリケーションが 一 般 的 です ( 約 31%) これは 必 要 最 低 限 の 権 限 という 原 則 に 違 反 しています この 現 状 には 次 の 原 因 があると 考 えられます» 必 要 な API と 権 限 に 関 する 記 述 がない あるいは 正 確 でない» 中 間 的 なコードが 残 っている 開 発 または 品 質 テスト 後 にデバッグコードが 削 除 されていない»フォーラムでエラーが 広 がる 多 くの 開 発 者 が 作 成 中 のソースコードを 共 有 している 作 成 者 が 後 でコードのエラーを 訂 正 しても コピーされた 他 の 部 分 には 反 映 されないことが 多 い 18. http://home.mcafee.com/virusinfo/virusprofile.aspx?key=501748, http://home.mcafee.com/virusinfo/virusprofile.aspx?key=509500, http://home.mcafee.com/virusinfo/virusprofile.aspx?key=522281, http://home.mcafee.com/virusinfo/virusprofile.aspx?key=518925, http://home.mcafee.com/virusinfo/virusprofile.aspx?key=501599, http://home.mcafee.com/virusinfo/virusprofile.aspx?key=501639 http://home.mcafee.com/virusinfo/virusprofile.aspx?key=527859 19. http://developer.android.com/guide/topics/security/security.html 20. http://developer.android.com/guide/topics/admin/device-admin.html 21. Y.Tsepenyuk O Neil, E.Chin Seven Ways to Hang Yourself with Google Android (Google Android をハングさせる 7 つの 方 法 ) DefCon 19, Las Vegas 2011 10
サンドボックスで 実 行 される Android アプリケーションの 動 作 をまとめた BlackHat 2011 のレポートによ ると アプリケーションの 8.4% は IMEI データを 暗 号 化 せずに 送 信 していました 22 殆 どのモバイル 端 末 は 個 人 で 使 用 されているため IMEI は 個 人 を 識 別 する 情 報 になります 同 じレポートは アプリケー ションの 約 22% がインストール 時 に IMEI へのアクセスを 要 求 していると 報 告 しています この 22% と 8.4% の 違 いは 必 要 以 上 の 権 限 を 要 求 するアプリケーションが 多 いことを 裏 付 けています Dalvik 仮 想 マシン Android ソフトウェアは APK パッケージで 提 供 されます このパッケージは 必 要 な 権 限 が 記 述 された マニフェストです インストール 時 に Android アプリケーションが 特 定 のデータまたは 操 作 に 対 するアク セスを 明 示 的 に 要 求 しない 限 り アクセス 権 を 取 得 することはありません インストール 後 アプリケー ションは Java ベースの Dalvik JIT 仮 想 マシン (VM) で 実 行 されます Dalvik VM では Android の NDK で 作 成 されたネイティブコードを 実 行 できるため OS 経 由 でプロセス の 分 離 が 行 われます VM だけでは 分 離 は 実 現 できません 23 すべての Android アプリケーション (Dalvik アプリケーション ネイティブ 混 在 ) に 同 じセキュリティ 制 限 があります Microsoft Security Intelligence Report - Volume 11 によると 2010 年 第 3 四 半 期 から 2011 年 第 2 四 半 期 までの 間 で Windows に 対 する 攻 撃 で 最 も 多 かったのが Java エクスプロイトでした 24 Java の サンドボックスは 元 々 安 全 なものではありません 一 部 のエクスプロイトは Dalvik の 攻 撃 にも 応 用 でき ます このレポートには Lotoor という Android のエクスプロイトが PC 上 で 頻 繁 に 検 出 されるという 興 味 深 い 現 象 も 報 告 されています Microsoft は ユーザーが 感 染 したアプリケーションをダウンロードし モバイル 端 末 に 転 送 したためと 原 因 を 分 析 しています アプリケーションの 署 名 Android アプリケーションには 署 名 が 必 要 ですが 認 証 機 関 の 認 定 は 義 務 付 けられていません このた め 多 くのアプリケーションが 自 己 署 名 による 証 明 書 を 使 用 しています この 署 名 により ソフトウェア の 提 供 元 を 追 跡 し 提 供 元 の 信 頼 性 を 判 断 することができます しかし マルウェアの 追 跡 には 有 効 な 手 段 にはなりません アプリケーションの 署 名 は 無 料 で 生 成 できます また 新 しい 署 名 には 信 頼 性 に 関 する 情 報 が 含 まれていません Windows の 信 頼 されたデジタル 署 名 (Authenticode) のように 自 己 署 名 であっても 信 頼 できる Android アプリケーション 提 供 元 の 証 明 書 には 特 定 の 値 が 含 まれています この 情 報 はマルウェアの 作 成 者 にとっても 有 効 な 情 報 です この 情 報 を 盗 み 出 せば 信 頼 された 提 供 元 の 名 前 をマルウェアに 追 加 し マルウェアを 短 時 間 で 広 範 囲 に 散 布 することができます 多 くのデジタルキーを 盗 み 出 し そ の 中 で 最 も 有 名 なキーを 標 的 型 攻 撃 に 使 用 すれば 攻 撃 の 成 功 率 は 高 くなります 多 くのセキュリティソフトウェアベンダーが IEEE Software Taggant System に 参 加 しています 25 Taggant (タガント) はプラスティック 爆 弾 などの 識 別 用 に 付 加 される 化 学 薬 品 で 製 造 元 の 工 場 の 特 定 や 爆 発 物 の 粒 子 分 析 に 役 立 ちます IEEE Taggant System は 暗 号 化 された 強 力 なマーカーを ソフトウェアの 作 成 時 に 自 動 的 に 追 加 することで プログラムの 製 造 元 を 追 跡 できるようにするもので す このシステムの 利 点 はセキュリティソフトウェアのスキャン 時 間 を 短 縮 できる 点 にあります 開 発 者 の 利 点 としては Authenticode の 署 名 と 異 なり このタガントが 無 料 で 提 供 される 点 が 挙 げられます 不 正 なソフトウェアの 提 供 元 と 信 頼 できる 提 供 元 を 区 別 するには このシステムを 開 発 者 のツールに 統 合 する 必 要 があります ios や Android ではアプリケーションの 署 名 が 必 須 になっているので 特 別 な 効 果 は 期 待 できませんが 他 の OS の 場 合 には 環 境 に 安 全 評 価 機 能 を 組 み 込 める 利 点 があります 22. Neil Daswani Mobile Malware Madness, and How to Cap the Mad Hatters (モバイルマルウェアの 脅 威 と 対 策 ) 23. http://developer.android.com/sdk/ndk 24. http://www.microsoft.com/security/sir/default.aspx 25. http://standards.ieee.org/news/2011/icsg_software.html, https://media.blackhat.com/bh-us-11/kennedy/bh_us_11_kennedymuttik_ieee_slides.pdf 11
ios Windows Phone 7 など Apple の ios は Android の 最 大 のライバルです 現 在 のところ Apple は 端 末 の 保 護 に 対 して 十 分 な 対 策 を 行 っているようです このレポートの 執 筆 時 点 で ジェイルブレイクした iphone のマルウェアは 1 件 も 報 告 されていません ジェイルブレイクを 行 うと 認 定 されていないアプリケーションを iphone で 実 行 することができますが 署 名 のないアプリケーションも 実 行 可 能 になるため 危 険 な 状 態 となります iphone のセキュリティリスクについては 次 章 以 降 で 触 れることにします Android と ios 以 外 にも 今 後 重 要 性 が 増 すと 思 われるオペレーティングシステムがあります これら の OS は 現 在 開 発 中 のため 現 段 階 でセキュリティ 機 能 を 評 価 することは 差 し 控 えますが 注 目 すべ き 点 をいくつか 挙 げておきます Windows Phone 7 26 Nokia はこの OS を 今 後 の 端 末 で 採 用 することを 発 表 しました IDC の 調 査 では Windows Phone は 市 場 の 約 20% を 占 め Apple と RIM の OS を 凌 ぐ 勢 いになると 予 測 されています Samsung の Bada 27 は 現 時 点 でのマーケットシェアは 小 さいものの Samsung は Tizen プロジェクト の 推 進 で Intel と 業 務 提 携 を 締 結 しました 28 これは MeeGo を 引 き 継 ぐものとなります 29 WebOS 30 クラウドベースの OS Google Chrome OS など 31 エコシステムの 現 状 と 今 後 次 に モバイル 端 末 が 動 作 する 環 境 について 見 てみましょう 端 末 のセキュリティは ソフトウェアの 安 全 性 だけでなく 端 末 が 機 能 するエコシステム 全 体 で 評 価 されます セキュリティという 観 点 では ハー ドウェア OS (root などの 特 権 で 実 行 されるアプリケーションを 含 む) OS の 更 新 プロセス 端 末 が アクセスする 外 部 リソース (アプリケーションストアなど) の 安 全 性 を 検 討 する 必 要 があります エコシステムのセキュリティ 6% BlackBerry 13% ios 17% Android 44% Windows Phone 7/ Windows Mobile 20% 図 4: IDC が 予 測 する 2015 年 のモバイル OS の 出 荷 状 況 (2011 年 6 月 の 調 査 結 果 より) 32 OS とセキュリティ 機 能 を 評 価 するだけでは 現 在 のスマートフォンのセキュリティを 適 切 に 評 価 することは できません 33 モバイル 端 末 は 接 続 を 前 提 に 設 計 されています 複 数 のネットワーク 内 で 動 作 し そ れぞれのネットワークでリスクが 発 生 します また インターネットからプログラムをダウンロードします 26. www.microsoft.com/windowsphone/ja-jp/default.aspx 27. http://en.wikipedia.org/wiki/bada_(operating_system) 28. http://en.wikipedia.org/wiki/tizen https://www.tizen.org/ 29. https://meego.com/, http://en.wikipedia.org/wiki/meego 30. http://en.wikipedia.org/wiki/webos 31. http://en.wikipedia.org/wiki/google_chrome_os 32. http://www.idc.com/getdoc.jsp?containerid=prus22871611 33. http://www.symantec.com/content/en/us/about/media/pdfs/symc_mobile_device_security_june2011.pdf 12
環 境 全 体 の 比 較 が 必 要 です Android OS と Android Market ios と Apple の App Store Android の 場 合 は 状 況 が 複 雑 です ハードウェアメーカーは Google からオープンソースのコアを 取 得 して 独 自 の 変 更 を 行 っています (セキュリティ 関 連 の 変 更 も 含 む) コアの OS 部 分 以 外 に 独 自 に 保 守 しているコード 部 分 が 数 多 く 存 在 しています Android コアに 対 する 修 正 を OS のカスタム 部 分 に 反 映 しなければならないため 各 部 分 で 遅 延 が 発 生 し メーカーが OS の 更 新 を 完 了 するまでの 時 間 は 必 然 的 に 長 くなります Android Ice Cream Sandwich (AICS) のリリースではこの 問 題 が 解 決 されるかも しれませんが AICS が 実 際 に 普 及 するまでは 分 かりません モバイル 端 末 のエコシステムで 重 要 な 要 素 はアプリケーションストアとソフトウェア 更 新 の 提 供 元 でしょう アプリケーションストア スマートフォン 用 のソフトウェア 配 布 はデスクトップの 場 合 と 大 きく 異 なります モバイル 端 末 のユーザー は インターネット 経 由 で 特 定 のベンダーのマーケットプレイスに 接 続 します 現 在 ではモバイル 端 末 のユーザーを 特 定 の GSM/3G ネットワークに 固 定 できるので マーケットへの 接 続 は 比 較 的 簡 単 です ベンダーはユーザーを 自 社 のマーケットプレイスに 限 定 することで 報 奨 金 を 受 け 取 っています これは セキュリティの 面 でも 望 ましいことです ソフトウェアの 提 供 元 が 1 つになれば プログラムの 検 査 や 不 要 なコンテンツの 削 除 も 簡 単 になります マーケットプレイスの 信 頼 性 を 保 証 するため プロバイダーはアプリケーションにデジタル 署 名 ( 実 際 は DRM の 形 式 ) を 付 ける 必 要 があります 署 名 を 付 けないとコンテンツ (ソフトウェアを 含 む) の 共 有 が 簡 単 になり 著 作 権 侵 害 に 対 するプロバイダーの 対 応 が 疑 われます これは Apple で 行 われている 手 法 で Apple で 署 名 のないプログラムを 実 行 するにはジェイルブレイクが 必 要 です スマートフォンのベンダーは 自 分 たちが 安 全 なプロバイダーと 評 価 されることに 努 力 しています このよ うな 競 争 があると モバイル 端 末 を 少 しは 安 心 して 使 用 できるかもしれません 保 護 されたドライブを 用 意 してソフトウェアを 一 元 的 に 配 布 し 安 全 なエコシステムを 構 築 するには オンラインストアに 投 稿 されるアプリケーションをフィルタリングし マルウェアの 量 を 制 御 する 必 要 が あります ソフトウェアの 配 布 が 分 散 化 されている 場 合 このような 制 御 はほぼ 不 可 能 です しかし 攻 撃 者 や 犯 罪 者 は 短 時 間 で 新 しい 環 境 に 順 応 してしまいます 事 後 対 応 か 事 前 対 策 か モバイルソフトウェアの 殆 どは Apple の App Store と Google の Android Market から 配 布 されています しかし 両 者 のポリシーとフィルタリングはいくつかの 点 で 大 きく 異 なっています Apple の 厳 格 な 一 元 配 布 環 境 で 新 しいアプリケーションを 取 得 する 方 法 は 次 のとおりです»App Store からダウンロードする»iOS モバイルデバイス 管 理 (Apple の 承 認 が 必 要 ) 34 正 規 の 企 業 はこの 方 法 でソフトウェアの 配 布 が 可 能 Google は Android Market でコンテンツを 管 理 し 提 供 しています ここからのダウンロードが 一 般 的 ですが インターネット 上 の 他 のマーケットからアプリケーションをダウンロードしたり ブラウザーを 使 用 して URL から APK をダウンロードすることもできます Apple Store は 厳 しく 管 理 され 少 なくとも 現 時 点 では Google よりも 安 全 です Android でのソフトウェ ア 配 布 は 制 約 が 厳 しくないため マルウェアの 被 害 を 何 度 も 受 けています たとえば 2011 年 春 に 発 生 した 事 件 では DroidDream に 感 染 した 50 以 上 のアプリケーションがダウンロード 可 能 な 状 態 になっ ていました 35 このアプリケーションは 端 末 から 情 報 を 盗 み 出 し 司 令 サーバーからの 命 令 を 待 機 し ます (これは 通 常 のボットネットの 動 作 です) DroidDream は 人 気 のあるアプリケーションマーケットを 狙 った 最 初 のトロイの 木 馬 です この 事 件 で Google は 50 以 上 の 不 正 なアプリケーションを Android Market から 削 除 しています 34. http://www.apple.com/ipad/business/integration/mdm/ 35. http://home.mcafee.com/virusinfo/virusprofile.aspx?key=399522 13
Apple の 方 法 は 事 前 対 策 型 で 予 防 に 重 点 を 置 いています Google の 方 針 は アプリケーションの 作 成 を 促 進 させ 問 題 は 発 生 時 に 対 応 するというもので 事 後 対 応 型 といえます Google の 方 法 では 様 々なアプリケーションが 大 量 に 作 成 されることになります しかし セキュリティの 観 点 では マルウェ アの 作 成 者 にとって 最 高 の 環 境 を 用 意 していることになります オンラインストアに 存 在 するマルウェアの 量 はフィルタリングの 品 質 によって 変 わります このフィルター には 品 質 検 査 とセキュリティ 検 査 も 含 まれます 攻 撃 者 もそれぞれの 環 境 で 費 用 対 効 果 を 考 えます つまり どのくらいの 時 間 と 費 用 をかければマルウェアがフィルターを 通 過 するのかを 検 討 します ソフトウェアの 多 様 性 という 点 では Google は Apple をすぐに 追 い 越 すでしょう しかし 選 択 肢 が 増 えたとしても ユーザーは 安 全 な 環 境 を 選 びます この 2 つの 要 件 を 同 時 に 満 たすことは 簡 単 なことで はありません エコシステムの 安 全 性 を 維 持 するため プロバイダーは 多 額 の 投 資 が 必 要 になるかも しれません 参 加 者 が 少 なければ 大 手 プロバイダーとの 競 争 は 激 しいもになります 効 果 的 なソフト ウェアフィルターを 実 装 するには 運 用 費 用 に 更 なる 投 資 が 必 要 になります インターネットマーケットに 対 する 攻 撃 アプリケーションストアは 検 索 エンジンの 悪 用 と 類 似 した 方 法 で 操 作 される 可 能 性 があります 検 索 エンジンの 悪 用 では 検 索 結 果 の 上 位 に 不 正 な URL が 表 示 されます 36 アプリケーションストアに 対 する 攻 撃 では 選 択 したアプリケーションの 評 価 を 不 正 に 引 き 上 げ 多 くのユーザーにダウンロードさ せようとします 正 規 のソフトウェアにもマルウェアにも 同 じ 方 法 が 使 用 できるため マルウェアの 作 成 者 がアプリケーションの 評 価 を 操 作 したのかどうか 殆 ど 区 別 できません 正 規 のアプリケーション ( 通 常 は 人 気 のあるアプリ) にマルウェアや 広 告 を 追 加 して 再 度 アップロードし ( 別 のマーケットプレイスの 場 合 もある) ユーザーにダウンロードさせる 攻 撃 がいくつか 確 認 されていま す 37 再 投 稿 の 前 にアプリケーションの ID ( 名 前 / アイコン / 作 成 者 ) を 変 更 する 場 合 もありますが 攻 撃 者 が 元 のソフトウェアを 故 意 に 変 更 せず 信 頼 できる 提 供 元 から 配 布 されているように 見 せかける こともあります また デジタル 署 名 と 元 の 作 成 者 の ID を 維 持 して そのソフトウェアを 不 正 なパッケー ジに 組 み 込 んでいる 場 合 もあります また 役 に 立 つアプリケーションにマルウェアの 機 能 (ユーザーのデータを 盗 み 出 す 情 報 窃 盗 機 能 など) が 埋 め 込 まれる 可 能 性 もあります 有 料 のアプリケーションがこのような 攻 撃 の 対 象 になるかもしれま せん この 場 合 マルウェアの 作 成 者 はアプリケーションの 料 金 と 盗 まれたデータの 両 方 から 利 益 を 得 ることになります アプリケーションストアのフィルターを 通 過 し セキュリティソフトウェアにも 検 知 されず 攻 撃 がユーザーに 気 付 かれなければ マルウェアの 潜 伏 期 間 は 長 くなります たとえば 利 用 価 値 が 高 い 場 合 にだけ 盗 み 出 したデータを 転 送 するようにすることも 可 能 です App Store のアプリケー ションの 中 にも 不 正 な 機 能 が 埋 め 込 まれたものがあるかもしれません Apple がジェイルブレイクされて いない iphone の 保 護 に 成 功 している 状 況 を 見 ると App Store に 対 する 攻 撃 にはこの 方 法 が 使 用 され る 可 能 性 が 高 いでしょう 38 App Store の 構 造 ではマルウェアの 大 量 配 布 は 難 しいでしょうが 標 的 型 攻 撃 は 可 能 です 隠 し 機 能 のあるアプリケーションをリリースしてアプリケーションのインストールを 促 し ユーザーがインストールし た 後 で 不 正 な 隠 し 機 能 を 起 動 する 方 法 も 考 えられます このような 起 爆 装 置 付 きのソフトウェアを App Store から 排 除 することは 非 常 に 困 難 です App Store に 対 する 攻 撃 が 実 行 不 可 能 なほど 困 難 になっても (この 状 況 はまずないでしょうが) 正 規 の 開 発 会 社 のデスクトップに 侵 入 し 開 発 中 のソフトウェアを 改 ざんすれば 正 規 のアプリケーションに マルウェアを 挿 入 することができます このような 攻 撃 は 殆 ど 発 生 しないでしょうが 攻 撃 に 成 功 すれば マルウェアを 短 時 間 で 広 範 囲 に 散 布 することができます 攻 撃 者 は Web の 脆 弱 性 を 悪 用 したり アプリケーションストアでわずかなマルウェアを 散 布 することで 検 出 を 回 避 しようとします これまでこの 戦 法 は 効 果 的 でした モバイル 環 境 でも 成 功 しないとは 言 い 切 れません しかし マーケットプレイスには 複 雑 な 攻 撃 が 実 行 されています マーケットからすべて のマルウェアがなくなるまでは 現 在 の 手 法 が 引 き 続 き 使 用 されるでしょう 36. http://en.wikipedia.org/wiki/search_engine_optimization 37. http://home.mcafee.com/virusinfo/virusprofile.aspx?key=363542 38. http://blogs.mcafee.com/mcafee-labs/get-out-of-jail-not-so-free 14
DRM とリモート 制 御 人 気 のあるモバイル OS ではアプリケーションにデジタル 署 名 を 付 ける 必 要 があります デジタル 署 名 により ソフトウェアの 配 布 が 制 限 されますが 実 際 には 映 画 などのエンターテイメントの 配 布 を 制 限 す る DRM が 使 用 されています マルウェアの 大 量 発 生 後 Google は Android に 組 み 込 まれているア プリケーションのリモート 削 除 機 能 を 実 行 し インストールされているトロイの 木 馬 を 消 去 しました 39, 40 Google は 不 正 な 活 動 を 阻 止 し 修 正 を 行 うために 複 数 の 対 策 を 用 意 しています Android Market からアプリケーションを 削 除 する Google のストアのみが 対 象 で 他 社 のマーケット からは 削 除 できません インストール 済 みのアプリケーションをリモートから 終 了 する 感 染 したデバイスに 特 別 な Android セキュリティツールをインストールする 不 正 なアプリケーションに 関 連 する Google アカウントをブロックする Google がこれらの 対 策 を 誤 って 行 う 可 能 性 は 否 定 できません 一 部 では Google アカウントの 消 去 で 関 連 するデータがなくなってしまうことを 懸 念 する 声 もあります 41 アプリケーションの 誤 認 で Google がこのアプリケーションに 関 連 する 個 人 のアカウントをブラックリストに 登 録 したり 削 除 するかもしれま せん このような 処 理 が 行 われた 場 合 セキュリティソフトウェアの 誤 検 知 以 上 の 影 響 があります Apple はアプリケーションのリモート 削 除 を 実 行 していません プライバシーの 問 題 からこの 機 能 の 実 行 を 避 けていることは 容 易 に 想 像 できますが ios にもリモート 終 了 機 能 が 搭 載 されています この 機 能 は ios のジェイルブレイクルーチンを 作 成 した 開 発 者 が 発 見 しています 開 発 者 アプリケーションストアのソフトウェアにはデジタル 署 名 が 必 要 です ソフトウェアを 作 成 する 開 発 者 も エコシステムの 一 部 で マーケットとは 密 接 な 関 係 になります アプリケーションストアでのソフトウェアと 開 発 者 の 評 価 と 順 位 は インストールするアプリケーションを 選 ぶときの 基 本 的 な 基 準 となります ( 外 部 のアプリケーション 評 価 サービスも 同 様 です) 評 価 も 製 品 の 一 部 であり マルウェアの 作 成 者 は 攻 撃 の 対 象 としています 評 価 を 取 引 するマーケットが 出 現 する かもしれません 結 果 として 開 発 者 も 攻 撃 の 対 象 になります 最 近 報 告 された Symbian フォーラムに 対 する 攻 撃 はこの 一 例 といえます この 攻 撃 では 開 発 者 の 認 証 情 報 が 大 量 に 盗 まれました 42 複 数 のモバイルプラット フォームでソフトウェアを 作 成 している 開 発 者 もいますが この 漏 えい 事 件 では Symbian だけでなく Android や ios も 標 的 になっています 複 数 のサイトで 同 じログイン 情 報 を 使 用 している 開 発 者 もいる でしょう 盗 まれた 認 証 情 報 は 正 規 のモバイル 開 発 者 の 評 価 を 改 ざんするために 使 用 される 可 能 性 が あります その 他 HTML5 のリリースは 現 在 Apple と Google が 支 配 的 なアプリケーションストアの 環 境 を 変 えるかもし れません 43 この 新 しい HTM 規 格 では 特 別 なアプリケーションを 使 用 しなくても ブラウザーで 動 画 や 音 声 などのコンテンツを 配 信 できます また HTML5 では OS 固 有 のユーザーインターフェース 要 素 をアプリケーションで 使 用 できるので ネイティブアプリケーションの 境 界 がなくなったように 見 えます 一 元 化 されたアプリケーションマーケットプレイスではなく HTML5 対 応 のブラウザーでコンテンツの 配 信 が 可 能 になれば 使 用 料 を 払 う 必 要 がなくなるため 一 部 の 開 発 者 にとっては 経 済 的 なメリットがあ るかもしれません 44 今 後 は カスタムアプリケーションではなく HTML5 でコンテンツを 配 信 する 傾 向 が 強 まるかもしれません 39. http://android-developers.blogspot.com/2010/06/exercising-our-remote-application.html 40. http://blogs.mcafee.com/enterprise/mobile/google-tool-cleans-up-mobile-malware-dream 41. http://www.itworld.com/it-managementstrategy/187543/when-google-kills-your-account-what-happens-your-android-phone 42. http://www.infosecurity-us.com/view/20396/nokia-shuts-down-developer-site-after-members-data-was-compromised/ 43. http://en.wikipedia.org/wiki/html5 44. http://www.zdnet.com/blog/btl/amazons-cloud-reader-beginning-of-the-html5-surge-vs-apples-app-store-vig/54587?tag=nl.e539 15
変 化 と 予 測 この 章 では 不 正 なソフトウェア 開 発 の 現 状 について 概 観 します また モバイル 端 末 の 特 殊 性 で 攻 撃 者 にどのような 変 化 が 起 きているのか 見 ていきます 動 機 は 金 銭 McAfee Labs が 確 認 しているマルウェアの 大 半 は 金 銭 的 な 目 的 で 使 用 されています マルウェアで 金 銭 を 稼 ぐ 方 法 は 様 々です 残 念 ながら モバイル 端 末 もその 一 つの 手 段 になりました MITB (Man-in-the-browser) 攻 撃 PC のマルウェアで 最 も 悪 質 な 攻 撃 の 一 つは オンラインバンキングセッションでブラウザーから 口 座 情 報 を 盗 み 出 したり 改 ざんする 攻 撃 です この 攻 撃 で 使 用 されたトロイの 木 馬 の 中 には 不 正 なトラン ザクションをユーザーから 完 全 に 隠 してしまうものもあります スマートフォンでもブラウザーに 簡 単 に 侵 入 できれば 新 たな 攻 撃 手 口 として 利 用 されることは 間 違 いありませんが 実 際 はそうではありません ios と Android は 強 固 なプロセス 分 離 を 行 っています OS 自 体 に 侵 入 しない 限 り マルウェアを root 権 限 で 実 行 することはできません ブラウザーの 通 信 に 侵 入 することも 他 のプログラムで 改 ざんする こともできません マルチプラットフォームに 対 応 する 脅 威 (Zeus と SpyEye) オンラインバンキングに 対 するセキュリティ 対 策 が 搭 載 されているモバイル 端 末 もあります 45 このセキュ リティ 機 能 は 次 の 2 つの 目 的 で 使 用 されます 追 加 のログイン 情 報 を 入 力 する ( 二 重 認 証 ) 取 引 情 報 または 口 座 残 高 を SMS などで 顧 客 に 通 知 する 2010 年 Android を 攻 撃 する Zitmo トロイの 木 馬 が 二 重 認 証 の 攻 撃 に 成 功 しました 46 Zitmo はモバ イル 環 境 の Zeus で 銀 行 口 座 を 狙 う PC 版 の Zeus トロイの 木 馬 ファミリーを 拡 張 したものです 2011 年 9 月 には Android 用 の Spitmo トロイの 木 馬 (モバイル 環 境 の SpyEye) が 出 現 し 二 重 認 証 を 攻 撃 しました これは 銀 行 口 座 を 狙 う PC 版 のトロイの 木 馬 ファミリーの 一 つです 47 高 額 通 話 料 金 の 回 線 に SMS を 送 信 マルウェアでモバイル 端 末 を 攻 撃 して 金 銭 を 稼 ぐ 最 も 簡 単 な 方 法 は 高 額 通 話 料 金 の 電 話 番 号 に 発 信 したり ショートメッセージ (SMS) を 送 信 する 方 法 です このような 攻 撃 が 頻 繁 に 発 生 せず (たとえば 夜 間 に 週 1 度 ) 痕 跡 が 消 されていれば (ログの 消 去 やルートキットの 検 出 回 避 機 能 の 使 用 ) 長 期 間 ユーザーに 気 付 かれないかもしれません プロバイダーが 高 額 通 話 料 金 の 番 号 を 使 用 する 会 社 を 記 録 し 金 融 取 引 を 記 録 していれば このよう な 活 動 を 追 跡 するのは 比 較 的 簡 単 なはずです しかし 現 実 はそれほど 簡 単 ではありません 多 くの 通 話 とメッセージは 海 外 を 経 由 していますが このような 不 正 行 為 を 重 視 していない 国 もあります 特 に このような 攻 撃 が 収 束 している 国 ではこの 傾 向 はいっそう 強 くなります ロシアなどの 国 では 非 常 に 多 くの 不 正 な SMS が J2ME で 発 生 していました このようなマルウェアが 蔓 延 するかどうかはユーザー に 気 付 かれずにメッセージを 送 信 できるかどうかによって 決 まります Android は ios よりも 危 険 です Android の 権 限 はインストール 時 に 割 り 当 てられ 動 的 に 制 御 できません この 機 能 を 管 理 するには App Alert などのツールを 使 用 して 権 限 の 監 査 を 行 う 必 要 があります 48 Microsoft Windows 8 はモバイル 端 末 と SMS をサポートするようです 詳 細 は 不 明 ですが PC 用 の マルウェアが Bluetooth 端 末 を 経 由 して SMS を 送 信 する 可 能 性 は 否 定 できません 発 信 を 行 う 可 能 性 もあります この 点 については 早 急 に 調 査 を 行 う 予 定 です 近 距 離 無 線 通 信 モバイル 端 末 で 近 距 離 無 線 通 信 (NFC) の 決 済 を 行 うには 特 別 なソフトウェアが 必 要 です NFC の 範 囲 は 数 センチ 程 度 です 45. http://blogs.mcafee.com/mcafee-labs/mobile-reunion-hackers-and-banks 46. http://blogs.mcafee.com/mcafee-labs/dissecting-zeus-for-android-or-is-it-just-an-sms-spyware, http://home.mcafee.com/virusinfo/virusprofile.aspx?key=290717 47. http://blogs.mcafee.com/mcafee-labs/spitmo-vs-zitmo-banking-trojans-target-android 48. https://market.android.com/details?id=com.mcafee.mobile.privacy 16
NFC の 不 正 利 用 を 防 止 するには 次 の 2 つの 方 法 があります 取 引 額 を 制 限 する 英 国 では NFC での 取 引 額 の 平 均 は 5 未 満 です 現 在 のレートで 約 600 円 未 満 です NFC 専 用 プロファイルをブロックする 盗 難 カードの 使 用 時 には PIN 番 号 署 名 識 別 情 報 の 入 力 を 要 求 する 空 港 駅 映 画 館 スタジアムなどの 混 雑 した 環 境 で NFC の 範 囲 を 拡 大 する 特 殊 な 機 器 が 開 発 さ れる 可 能 性 もあります スキミング 目 的 で 有 効 期 間 の 短 いアカウントが 使 用 される 可 能 性 もあります NFC 決 済 クレジットカード 電 子 ウォレット ビットコインに 対 応 する 機 器 が 増 えれば このような 攻 撃 はすぐにでも 発 生 するでしょう 多 くの 携 帯 電 話 に 銀 行 関 連 のデータが 保 存 されています データ 自 体 が 保 存 されているだけでなく オンラインバンキングのログイン 情 報 が 記 録 されている 場 合 もあります 電 子 ウォレットが 普 及 すれば ウォレットから 金 銭 を 盗 み 出 す 攻 撃 が 増 えることは 確 実 です 電 子 ウォレットのセキュリティリスクは 少 なくとも PIN 番 号 対 応 のクレジットカードと 同 等 になるでしょう 端 末 のソフトウェアを 介 して 別 の 攻 撃 が 実 行 できるため さらに 状 況 は 悪 化 するかもしれません オンライン 通 貨 であるビットコインに 対 応 した Android アプリケーションがすでに 登 場 しています このよ うな 仮 想 通 貨 は NFC などで 使 用 することができます 49 QR コードを 利 用 した 取 引 にビットコインが 使 用 される 可 能 性 もあります 50 口 座 データやオンライン 通 貨 の 消 失 は 所 有 者 にとって 大 きな 被 害 となります モバイル 端 末 に 強 力 な データ 窃 盗 防 止 (DLP) 機 能 を 搭 載 し リスクを 回 避 する 必 要 があります DLP ソフトウェアは 他 の セキュリティ 対 策 で 保 護 されているコンピューターが 侵 入 された 場 合 のセーフティネットとして 利 用 されて います この 意 味 では 被 害 を 最 小 限 に 抑 えるツールといえます 企 業 秘 密 などのデータは 非 常 に 価 値 のあるものですが すぐに 換 金 できるものではありません 情 報 の 買 い 手 を 慎 重 に 探 す 必 要 があるだけでなく 大 きなリスクを 伴 います ビットコインなどの 資 産 は 追 跡 が 非 常 に 難 しいため 攻 撃 者 にとっては 魅 力 的 な 存 在 です 盗 み 出 したビットコインを 手 に 入 れる ために 従 来 のような 運 び 屋 は 必 要 ありません このような 仮 想 通 貨 が 普 及 すれば 仮 想 通 貨 の 盗 難 事 件 は 増 えるでしょう 接 続 性 スマートフォンの 接 続 を 保 護 するセキュリティを 突 破 できれば マルウェア 作 成 者 は 非 常 に 多 くの 攻 撃 手 段 を 手 にすることになります ここでは モバイル 端 末 の 接 続 性 について 検 討 してみましょう フェムトセル フェムトセルは 10m から 30m の 範 囲 の 通 話 エリアを 提 供 する 小 型 携 帯 基 地 局 で モバイルネットワーク を 安 価 で 拡 張 できます 51 フェムトセルは 家 庭 や 小 規 模 なオフィス 向 きです 通 常 フェムトセルは Ethernet コネクタと 電 源 プラグを 備 えた 小 型 の 装 置 で インターネットを 介 して 携 帯 電 話 会 社 に 接 続 しま す フェムトセルは 大 きな 基 地 局 からの 電 波 が 届 かない 場 所 や 追 加 の 基 地 局 の 設 置 にコストがかか る 場 合 に 使 用 できるので 携 帯 電 話 会 社 にとって 便 利 な 存 在 です また フェムトセルの 販 売 でも 収 入 を 得 ることもできます この 他 に 次 のような 通 話 エリアがあります マクロセル : 2km 未 満 ピコセル : 200m 未 満 フェムトセル : 約 10m AT&T では この 通 話 エリアの 製 品 をマイクロセルと 呼 んでいます 残 念 ながら フェムトセルには 重 大 なセキュリティリスクが 伴 います フェムトセルは 簡 単 に 手 に 入 る 小 型 携 帯 基 地 局 です 価 格 は $ 100 から $ 200 で リバースエンジニアリングが 可 能 です 49. http://www.bitcoin.org, http://en.wikipedia.org/wiki/bitcoin 50. https://market.android.com/details?id=de.schildbach.wallet 51. http://en.wikipedia.org/wiki/femtocell 17
携 帯 電 話 会 社 のインフラとインターネット (TCP/IP) 経 由 で 接 続 するため セキュリティ 対 策 が 万 全 でな ければ 簡 単 に 悪 用 されてしまいます たとえば 自 宅 や 事 務 所 の 近 くにハッキングされたフェムトセ ルを 設 置 し すべてのモバイル 通 信 に MITM 攻 撃 を 仕 掛 けることができます また この 通 話 エリア に 接 続 する 端 末 の 通 話 と SMS を 盗 聴 することができます セキュリティリスクを 回 避 するためか 一 部 の 携 帯 電 話 会 社 はフェムトセルの 提 供 を 行 っていません BlackHat 2011 では 特 定 のフェムトセルモデルに 複 数 の 脆 弱 性 があることが 発 表 されました この モデルでは 専 用 の 組 み 込 み Linux が 実 行 され フランスで 99 で 販 売 されていました 52 このモデ ルに 存 在 する 問 題 の 一 つは 工 場 出 荷 時 の 状 態 にリセットするとローカルの 設 定 が 消 去 され 端 末 の 設 定 を 最 初 から 行 う 必 要 がある 点 です リセットを 何 度 も 実 行 すると 初 期 設 定 時 に 交 換 されるデータ の 分 析 を 行 い セットアッププロトコルのリバースエンジニアリングが 可 能 になります このモデルでは 携 帯 電 話 会 社 のインフラと 証 明 書 を 交 換 しますが 証 明 書 の 信 頼 性 は 確 認 しません またキーが 暗 号 化 されずに 転 送 されます フェムトセルのリモート 管 理 には TR-069 プロトコルが 使 用 されますが このサービスにも 脆 弱 性 が 存 在 する 可 能 性 があります 53 フェムトセルなどの 組 み 込 み 端 末 に 存 在 する 一 般 的 な 問 題 は これらの 機 器 が root 権 限 で 実 行 される 点 です 攻 撃 に 成 功 すると 端 末 に 対 するフルアクセスが 取 得 できます 特 権 レベルに 昇 格 するため に 他 の 脆 弱 性 を 探 す 必 要 はありません フェムトセルの 特 定 のモデルに 侵 入 する 手 順 はオンラインで 公 開 されています 実 装 上 の 脆 弱 性 も 存 在 します フェムトセルにもプライバシーの 問 題 が 存 在 します たとえば この 機 器 には 近 くの 基 地 局 の 情 報 ( 位 置 情 報 ) が 記 録 されている 場 合 があります また 加 入 者 ID (IMSI) と 携 帯 電 話 ID (IMEI) も 記 録 されます 一 部 のフェムトセルには 設 定 用 の Web ページが 用 意 されています この Web アクセス が 保 護 されず 脆 弱 性 が 存 在 していると 重 大 な 問 題 が 発 生 する 可 能 性 があります BlackHat 2011 ではプライバシーに 関 する 別 の 問 題 も 報 告 されました 特 定 のフェムトセルモデルはログを 集 計 し 暗 号 化 されていないパッケージとして FTP 経 由 で 携 帯 電 話 会 社 に 定 期 的 に 送 信 しています このデータの 中 には ユーザーの 活 動 に 関 する 情 報 も 含 まれています ストレージデバイス ストレージデバイスもマルウェアの 感 染 経 路 になります たとえば SD カードにはプログラムやインス トールパッケージを 記 録 できます カードの 所 有 者 が 端 末 に SD カードを 入 れたままにしておくこともあり ます (ただ 単 に 取 り 出 すのを 忘 れただけでしょうが) カードに 記 録 されたプログラムがしばらくしてから 実 行 される 場 合 もあります エクスプロイトを 含 むファイルをしばらくしてから 開 くように 細 工 することもで きます マルウェアによっては これは 理 想 的 な 攻 撃 手 段 です 盗 み 出 したデータを SD カードに 書 き 込 み 後 で SD カードを 持 ち 出 すことも 可 能 です 取 り 外 しが 簡 単 にできないように SD カードの 物 理 的 なセキュリティも 強 化 する 必 要 があります メディア の 操 作 ができないように OS で 制 御 することもできます 端 末 のメモリー 空 間 を 拡 張 するために SD カードが 常 時 装 着 されている 場 合 もあります このカードは ハードディスクのような 役 割 を 果 たしているため 最 新 の 暗 号 化 技 術 を 使 用 してカード 全 体 を 暗 号 化 す るなど 適 切 な 方 法 で 保 護 する 必 要 があります Android 端 末 は SD カードなどのリムーバブルメディアに 対 するアクセス 制 御 とアプリケーションデータ ファイルの 暗 号 化 を 行 う 機 能 をサポートしています モバイル 端 末 のストレージ ( 内 蔵 ストレージと SD カードの 両 方 ) は 端 末 を PC に 接 続 したときにも 危 険 が 生 じます モバイル 端 末 をラップトップまたはデスクトップにスレーブとして 接 続 すると ( 通 常 Micro-USB コネクタ 経 由 ) 端 末 の 内 部 ストレージは Windows の 拡 張 ドライブとしてマッピングされます この 状 態 になると PC 上 でマルウェアを 自 動 的 に 実 行 する 攻 撃 (AutoRun や Stuxnet ワームが 悪 用 し た LNK の 脆 弱 性 ) がモバイル 端 末 に 実 行 される 可 能 性 があります 攻 撃 の 危 険 性 は ケーブル 接 続 だけでなく PC に SD カードを 挿 入 したときにも 発 生 します 攻 撃 者 がマルウェアを 自 動 的 に 実 行 でき ない 場 合 PC 用 の 不 正 なプログラムを SD カードに 記 録 し PC 上 で 実 行 しようとします この 方 法 で モバイル 端 末 への 攻 撃 も 可 能 です 52. R. Borgaonkar, N. Golde, K. Redon Femtocells: A Poisonous Needle in the Operator s Hay Stack (フェムトセル : 携 帯 ネットワークに 突 き 刺 さる 毒 針 ) BlackHat 2011, Las Vegas 53. http://en.wikipedia.org/wiki/tr-069 18
Bluetooth 最 近 Bluetooth ネットワークスタックに 侵 入 してリモートからコードを 実 行 したり 物 理 的 な 接 続 がなく ても 自 動 車 の 操 作 が 可 能 であることを 示 す 発 表 が 行 われました 54 同 様 に Bluetooth 経 由 でモバイ ル 端 末 が 攻 撃 を 受 ける 可 能 性 もあります 攻 撃 を 行 うには 攻 撃 対 象 の 近 くにいることが 必 要 です スタジアムにいたユーザーの Symbian 端 末 に 感 染 した Cabir ワームの 事 例 はこの 条 件 を 裏 付 けていま す Bluetooth スタックの 脆 弱 性 (または MAC の 偽 造 ) は 標 的 型 攻 撃 で 最 も 一 般 的 な 手 口 です 近 くにいるため 特 定 の 人 物 やグループにのみ 攻 撃 を 行 うことは 非 常 に 簡 単 です この 手 口 は 標 的 型 の APT に 最 適 な 方 法 でしょう ネットワークのブリッジ モバイル 端 末 には 複 数 の 通 信 手 段 が 用 意 されています 通 常 は 1 つ 以 上 の 携 帯 電 話 基 地 局 (GSM 3G など) に 接 続 しています また Wi-Fi 経 由 でローカルネットワークに 接 続 したり 狭 いエリアではフェ ムトセル Bluetooth 赤 外 線 などで 通 信 を 行 います モバイル 端 末 は 移 動 を 前 提 としているため 1 日 の 中 で 接 続 先 を 何 度 も 変 更 します 入 り 口 とプロトコルの 選 択 肢 が 増 えるため これは 攻 撃 者 にとって も 都 合 の 良 いことです 攻 撃 者 は 最 も 脆 弱 な 通 信 リンクを 優 先 的 に 攻 撃 するため 自 宅 での 接 続 が 頻 繁 に 狙 われます また 再 接 続 の 問 題 もあります たとえば 会 社 から 自 宅 に 帰 るたびに 携 帯 電 話 は 同 じフェムトセ ルに 接 続 します この 再 接 続 中 に 攻 撃 者 は 繰 り 返 しネットワークトラフィックを 傍 受 できるので 通 常 で は 不 可 能 な 攻 撃 も 可 能 になります いずれかのネットワークが 侵 入 されれば モバイル 端 末 も 攻 撃 を 受 ける 可 能 性 が 高 くなります 端 末 が 会 社 のネットワークに 再 接 続 すると このネットワークが 入 り 口 となり 不 正 な 行 為 が 実 行 される 可 能 性 があります セキュリティ 機 能 の 悪 用 バックアップとデータの 暗 号 化 多 くのモバイル 端 末 には 端 末 のライフサイクルとしてバックアップ 機 能 が 搭 載 されています たとえば iphone にはコンピューターとの 同 期 機 能 が 装 備 されています Android 端 末 は 関 連 する Google ア カウントを 使 用 してオンライン 上 にデータを 保 存 します ios の 暗 号 化 の 解 読 は 可 能 でも 攻 撃 を 実 行 するには 端 末 に 物 理 的 にアクセスする 必 要 があります 55 この 方 法 では iphone が 同 期 している PC のバックアップデータを 解 読 することはできません バックアッププロセスには 常 にセキュリティリスクが 伴 います リモートにデータをバックアップする 場 合 転 送 中 のデータは 保 護 されていません 同 期 プロセスの 保 護 に 関 する Apple の 修 正 履 歴 を 見 ると それぞれの OS の 更 新 でセキュリティは 強 化 されています が これは 一 部 の 問 題 が 段 階 的 に 特 定 され 解 決 されたことを 意 味 します 56 サイバー 犯 罪 者 にとってバックアップは 価 値 のあるデータです iphone のバックアップは 暗 号 化 されま すが Android の 場 合 暗 号 化 を 行 うアプリケーションを 用 意 しなければなりません データを 適 切 な 方 法 で 暗 号 化 していても 攻 撃 を 受 ける 場 合 があります たとえば バックアップに 必 要 な 時 間 やバックアップファイルのサイズを 測 定 すると 端 末 の 使 用 頻 度 が 分 かります これにより サイバー 犯 罪 者 はこの 端 末 が 攻 撃 に 値 するかどうか 判 断 できます カスタムバックアップシステムを 使 用 しているモバイル 端 末 には 別 のリスクがあります 研 究 者 の 間 で はこれらのシステムは 注 目 されていません 多 くの 端 末 でリモートバックアップ (またはリストア) を 行 うと DoS 状 態 が 発 生 する 可 能 性 があります この 機 能 も 適 切 な 方 法 で 保 護 する 必 要 があります 54. http://www.technologyreview.com/computing/35094 55. http://www.itproportal.com/2011/05/25/russian-security-group-breaks-ios-encryption-says-few-groups-capable-repeating-steps 56. D.D.Zovi Apple ios Security Evaluation: Vulnerability Analysis and Data Encryption (Apple ios のセキュリティ 評 価 : 脆 弱 性 の 分 析 とデータの 暗 号 化 ) BlackHat 2011, Las Vegas 19
リモート 消 去 端 末 の 紛 失 または 盗 難 時 に 端 末 のデータをリモートから 消 去 する 機 能 は 一 般 的 な 機 能 です この 機 能 はアドオンソフトウェアで 提 供 されることもあります リモートからの 消 去 機 能 は IT 部 門 がポリシーを 管 理 する 企 業 環 境 でよく 使 用 されています たとえば IT ポリシーで BlackBerry 端 末 のデータ 消 去 を 行 います 57 重 要 な 情 報 を 保 護 するために 便 利 な 機 能 ですが 悪 用 される 非 常 に 危 険 な 状 態 になりま す リモートから 消 去 を 行 う IT 管 理 者 は 厳 密 なポリシーに 従 う 必 要 があります リモートからのバックアップ と 消 去 機 能 を 行 う 場 合 には この 機 能 を 開 始 する 機 器 に 物 理 的 にアクセスする 必 要 があります リモー トからの 実 行 を 許 可 すると 非 常 に 危 険 な 状 態 になります パスワードの 保 存 多 くのモバイル 端 末 には 重 要 なデータが 保 存 されています Nokia の 端 末 (スマートフォン 以 前 の 端 末 も 含 む) には 決 済 機 能 が 搭 載 され 重 要 なデータ (ログイン ID とパスワード クレジットカード 番 号 PIN 番 号 銀 行 口 座 の 情 報 パスフレーズなど) が 保 存 されていました モバイル 端 末 にはアプリケーションのデータも 保 存 されます アプリケーションによっては データ 流 出 の 脆 弱 性 が 存 在 する 可 能 性 があります また 次 のような 欠 陥 が 存 在 する 場 合 があります アプリケーション 間 の 分 離 が 適 切 に 行 われていないと 重 要 なデータが 他 のプログラムで 使 用 できる 場 合 があります 暗 号 化 が 適 切 に 行 われていないと データが 解 読 され 転 送 される 可 能 性 があります たとえば Skype for Android のあるバージョンでは 個 人 データが 暗 号 化 されずに SQLite データベースに 格 納 されます 58 利 便 性 を 高 めるため パスワード 収 集 ツールによってログインデータが 自 動 的 に 挿 入 される 場 合 があり ます 重 要 なデータが 暗 号 化 されていない 場 合 十 分 な 制 御 ができません (ユーザーがデータを 制 御 することができません) 端 末 のロック モバイル 端 末 を 紛 失 したり 置 き 忘 れた 場 合 一 時 的 なものであっても 不 正 なアクセスを 防 ぐ 対 策 を 講 じる 必 要 があります 最 も 一 般 的 な 対 策 は 端 末 で 一 定 の 時 間 操 作 が 実 行 されない 場 合 に 端 末 をロッ クする 方 法 です ロックを 解 除 するには PIN 番 号 またはパスワードの 入 力 が 必 要 になります これは あくまで 応 急 処 置 的 な 対 応 であり 完 全 な 解 決 策 ではありません PIN 番 号 は 肩 越 しに 覗 き 見 ることで 簡 単 に 盗 み 出 すことができます 重 要 なデータを 扱 うアプリケーションの 中 には 2 つ 目 のパスワードを 要 求 するものもあります これは 良 いセキュリティ 対 策 ですが セキュリティポリシーが 施 行 されていないと ユーザーがこのパスワード 入 力 機 能 をオフにしてしまう 可 能 性 があります 標 準 的 なセキュリティポリシーでは 4 桁 の PIN 番 号 (iphone) またはパターン 認 識 (Android) を 使 用 していますが より 長 い 英 数 字 の 文 字 列 を 使 用 するなど 安 全 性 の 高 い 方 法 に 切 り 替 える 必 要 があ ります 特 に 端 末 を 仕 事 で 使 用 する 場 合 には より 強 固 な 対 策 を 行 う 必 要 があります 端 末 所 有 者 の 大 半 は 短 い PIN 番 号 で 端 末 をロックしています 59 他 の 方 法 があることを 知 らないユー ザーも 少 なくありません (iphone の 高 度 なセキュリティオプションなど ) また 多 くのユーザーが 非 常 に 脆 弱 な PIN 番 号 を 使 用 しています PIN 番 号 の 約 11% は 1234 0000 1111 2580 0852 のいずれかの 組 み 合 わせを 使 用 しています 60 残 念 ながら ログインオプションとして 指 紋 や 虹 彩 の 認 証 は 採 用 されていません 57. http://docs.blackberry.com/en/admin/deliverables/4222/remote_wipe_reset_to_factory_defaults_250402_11.jsp 58. http://www.androidpolice.com/2011/04/14/exclusive-vulnerability-in-skype-for-android-is-exposing-your-name-phone-number-chat-logs-anda-lot-more 59. D.D.Zovi Apple ios Security Evaluation: Vulnerability Analysis and Data Encryption (Apple ios のセキュリティ 評 価 : 脆 弱 性 の 分 析 とデータの 暗 号 化 ) BlackHat 2011, Las Vegas 60. http://www.gadgetnew.info/iphone-top-10-pin-codes-picked-by-users 20
複 数 の ID モバイル 端 末 は 個 人 で 所 有 されているとは 限 りません 家 族 や 友 人 親 戚 と 共 有 している 場 合 もあり ます 端 末 の 共 有 は 次 のようなセキュリティリスクを 伴 います 端 末 で 使 用 されるアプリケーションの 種 類 が 増 える 複 数 のユーザーの 個 人 データが 存 在 する 有 料 サービスに 対 する 制 御 ができない 端 末 を 紛 失 する 可 能 性 が 高 くなる 子 供 に 不 適 切 なコンテンツが 表 示 される 共 有 を 制 限 するセキュリティ 対 策 を 行 う 必 要 があります 特 に 仕 事 で 使 用 する 端 末 には 不 可 欠 です 次 のような 対 策 が 考 えられます 許 可 するアプリケーションをホワイトリストに 登 録 する マルチユーザー 対 応 アプリケーションの 機 能 を 制 限 する たとえば 電 子 メールには 1 人 の ID しか 許 可 しない 職 場 の 環 境 を 離 れる 場 合 には ビジネスデータをロックする ( 強 固 な 暗 号 化 を 行 う) 保 護 者 機 能 を 使 用 する IT のコンシューマライゼーション 個 人 で 所 有 している 端 末 を 会 社 に 持 ち 込 み 社 内 のネットワークに 接 続 するケースが 増 えています 自 分 のモバイル 端 末 を 仕 事 でも 使 いたいという 従 業 員 は 増 えていますが IT 管 理 者 は 自 身 が 構 築 し て 管 理 しているシステムを 信 頼 する 傾 向 があります 仕 事 の 環 境 で 個 人 用 の 端 末 を 使 用 する 動 きを IT のコンシューマライゼーションといいますが このプロセスは 必 ずしも 安 全 なものではありません マル ウェアによって 制 御 されている 端 末 が 社 内 に 持 ち 込 まれるかもしれません また 動 画 や 音 声 が 記 録 できる 端 末 が 許 可 なくインターネットに 接 続 する 可 能 性 もあります 61 規 模 は 小 さいものの ノート PC が 会 社 で 使 われ 始 めた 頃 にも 同 様 の 問 題 が 起 きています しかし スマートフォンの 場 合 はより 大 きな 問 題 となっています IT 担 当 者 が 特 定 のセキュリティポリシーで 許 可 する 管 理 機 能 がモバイル 端 末 で 実 行 される 可 能 性 もあり ます OS の 一 部 またはセキュリティソフトウェアとして 端 末 に DLP 機 能 が 搭 載 された 場 合 IT 管 理 者 はルールを 慎 重 に 管 理 し DLP を 有 効 に 利 用 する 必 要 があります 中 間 者 攻 撃 (MITM 攻 撃 ) モバイル 端 末 は 複 数 の 接 続 に 対 応 し 接 続 先 を 頻 繁 に 変 更 しています この 状 態 では MITM 攻 撃 を 受 ける 可 能 性 が 高 くなります このような 攻 撃 は 今 後 増 加 するものと 思 われます モバイル 端 末 は 画 面 サイズに 制 約 があるため さらに 危 険 な 状 態 になります たとえば ブラウザーで SSL の 表 示 が 見 えない 場 合 があります 小 さな 画 面 に 多 くの 情 報 を 表 示 しようとするため ソフトウェアの 開 発 者 がセキュ リティ 情 報 の 一 部 またはすべてを 非 表 示 にしてしまう 可 能 性 があります SSL 機 能 自 体 が 欠 けていたり 攻 撃 可 能 な 場 合 もあります 62 Comodo や 最 近 の DigiNotar のように 信 頼 された 証 明 書 プロバイダーがハッキングされた 例 もあります 63 信 頼 された SSL 証 明 書 がハッキン グされると MITM 攻 撃 が 実 行 され ログイン 情 報 などのデータが 盗 まれたり 不 正 なデータ 操 作 ( 間 違 った 情 報 を 戻 すなど) が 実 行 される 可 能 性 があります DNS (Domain Name System) がハッキン グされると SSL を 悪 用 した MITM に 類 似 した 攻 撃 が 発 生 する 可 能 性 があります アプリケーションの 脆 弱 性 モバイル 端 末 を 狙 うマルウェアは アプリケーションストアにだけ 存 在 するわけではありません PC の 場 合 と 同 様 に スマートフォンで 不 正 なサイトやハッキングされたサイトにアクセスすると アプリケーショ ンエクスプロイトでマルウェアに 感 染 する 可 能 性 があります このような 攻 撃 を 行 うには 人 気 のあるア プリケーションに 存 在 する 脆 弱 性 を 悪 用 する 必 要 があります 61. http://droidsecurity.appspot.com/securitycenter/securitypost_20110804.htm 62. https://www.trustwave.com/spiderlabs/advisories/twsl2011-007.txt 63. http://www.computerworld.com/s/article/9218676/sniffer_hijacks_secure_traffic_from_unpatched_iphones https://community.mcafee.com/thread/38704?tstart=0 21
脆 弱 性 の 悪 用 に 成 功 すると 2 段 階 で 攻 撃 を 仕 掛 けてきます ユーザーが Web サイトを 閲 覧 するか 文 書 を 開 いたときに 署 名 なしのコードを 実 行 する ブラウザー (Safari Opera など) の 脆 弱 性 や PDF/DOC/HTML の 閲 覧 ソフトウェアに 存 在 する 脆 弱 性 を 悪 用 し このタイプのコードを 挿 入 して 実 行 します 最 近 見 つかった ios のジェイルブレイクエクスプロイトは PDF フォント 処 理 の 脆 弱 性 を 悪 用 しています OS カーネルを 改 ざんし 可 能 な 限 り 高 い 権 限 でのマルウェアの 実 行 を 可 能 にする この 処 理 を 行 う には 権 限 昇 格 の 脆 弱 性 を 悪 用 する 必 要 があります この 時 点 で マルウェアを 長 期 間 実 行 させるた め OS やウイルス 対 策 の 更 新 を 無 効 にします iphone などの 端 末 がジェイルブレイクされていなければ すべてのソフトウェアが 信 頼 する 提 供 元 (Apple の App Store) から 提 供 されるのでマルウェアに 感 染 することはない という 見 方 もあります しかし これは 誤 解 です App Store にマルウェアが 存 在 することは 殆 どありませんが 絶 対 にないと は 言 い 切 れません また 端 末 に 権 限 昇 格 の 脆 弱 性 が 存 在 すれば 署 名 のないコードをカーネルで 実 行 することは 可 能 です このようなエクスプロイトがなければ ジェイルブレイクは 不 可 能 です ios のすべてのバージョン (4.3.3 まで) がジェイルブレイクされている 事 実 を 見 ると このような 脆 弱 性 が 存 在 することは 確 かです 自 己 複 製 型 のマルウェア 寄 生 型 ウイルス 殆 どのモバイル OS では 署 名 のないアプリケーションは 実 行 できません 寄 生 型 ウイルスが 感 染 するこ とは 基 本 的 にはあり 得 ません ウイルスが 寄 生 するにはアプリケーションの 改 ざんが 必 要 ですが 改 ざんを 行 うと 署 名 が 破 壊 されます ただし セキュリティが 正 常 に 機 能 していない OS (ジェイルブレイ クされた iphone など) に 拡 散 する 可 能 性 は 残 ります いずれにしても ユーザーが 端 末 間 でアプリケー ションを 直 接 共 有 することはないため 寄 生 型 ウイルスは 脅 威 にはなりません この 環 境 で 生 き 残 る 可 能 性 があるのは 実 行 時 に 自 身 のソースコードを 他 のアプリケーションに 追 加 す るタイプです このようなウイルスとしては Windows で W32/Induc が 確 認 されています 64 この 種 のウイルスが 拡 散 するには アプリケーションが 開 発 されたソース 管 理 システムにモバイル 端 末 から 侵 入 する 必 要 があります ネットワークセキュリティの 脆 弱 性 (アプリケーション 開 発 リポジトリが 存 在 する Wi-Fi ネットワークで 開 放 されている SMB 共 有 など) が 悪 用 できれば 端 末 のウイルスがデスクトップ にあるアプリケーションのソースコードを 改 ざんし 自 身 のコピーを 追 加 することも 可 能 でしょう しかし モバイル 端 末 のマルウェアがアプリケーション 開 発 リポジトリにアクセスする 可 能 性 はまずありません この 種 の 脅 威 の 危 険 度 は 非 常 に 低 いといえます バックドア 型 トロイの 木 馬 やボットネットがモバイルソフトウェアのソース 管 理 システムに 侵 入 する 可 能 性 は 考 えられます この 場 合 攻 撃 者 は 開 発 中 のアプリケーションに 対 して 変 更 を 行 い ソースコードを 改 ざんすることができます ワーム ワームは 変 更 を 行 わないマルウェアです デジタル 署 名 が 破 壊 されることはありません 寄 生 型 ウイ ルスと 比 べると この 種 のマルウェアは 単 純 です ワームの 感 染 方 法 も 寄 生 型 ウイルスの 場 合 と 同 じ ですが ワームはアプリケーションのソースを 変 更 しません 保 護 されていないアプリケーションストア の 証 明 書 を 見 つけるとすぐに 自 身 のコピーをアプリケーションストアにアップロードし 他 のユーザー がダウンロードできるようにします 名 前 を 変 えて 複 数 のコピーをアップロードする 場 合 もあります アプリケーションストアの 有 効 な 証 明 書 が 見 つかることは 殆 どないため このような 攻 撃 が 発 生 すること はまずありません ワームが 事 前 に 編 集 された 証 明 書 のリストを 使 用 しない 限 り (リストを 埋 め 込 むか リモートからアクセス 可 能 にするか) ワームのコピーが 複 製 されることはありません 自 動 ワーム モバイル 端 末 にリモートからコードを 実 行 できる 脆 弱 性 が 見 つかる 場 合 があります 人 気 のある アプリケーションが 使 用 するネットワークプロトコルでこのような 欠 陥 が 見 つかると 自 動 的 に 実 行 されるワームが 端 末 間 で 拡 散 する 可 能 性 があります 自 動 ワームとは W32/CodeRed や W32/Slammer のように 拡 散 にユーザーの 操 作 を 必 要 としないウイルスです 64. http://www.mcafee.com/threat-intelligence/malware/default.aspx?id=204731 22
携 帯 電 話 会 社 やセキュリティ 企 業 はこのような 脅 威 に 対 して 対 策 を 講 じる 必 要 があります ワーム 自 体 にスロットル 機 能 がない 限 り このようなワームが 活 動 を 開 始 すると 大 量 のトラフィックが 発 生 します 携 帯 端 末 の 通 信 が 麻 痺 する 危 険 性 もあります 脆 弱 性 は 特 定 の 環 境 に 固 有 のもので 異 なる OS やハードウェアに 同 じ 脆 弱 性 が 存 在 することはあまり ありません したがって 異 なる 種 類 の 端 末 にワームが 自 動 拡 散 する 可 能 性 はありません しかし スマートフォンで 標 準 化 が 進 んでいる 現 状 を 見 ると Android を 実 行 する 複 数 の 端 末 に 同 じ 脆 弱 性 が 見 つかり 複 数 のハードウェアに 対 する 攻 撃 が 発 生 することも 考 えられます 汚 染 とドライブベイ アプリケーションが 端 末 間 を 移 動 することはまずありません しかし アプリケーションストアが 汚 染 され マルウェアの 数 が 増 加 することは 考 えられます Google などの 検 索 エンジンに 対 する SEO 攻 撃 のよう に アプリケーションストアでアプリケーションの 評 価 を 改 ざんする 攻 撃 者 が 急 増 する 可 能 性 があります アプリケーションストアにマルウェアが 侵 入 し その 評 価 を 引 き 上 げることに 成 功 すれば マルウェアへ のリンクがスパムやソーシャルネットワークで 広 範 囲 に 送 信 される 可 能 性 があります このような 状 況 に なれば ストアから 常 に 被 害 者 がでることになります マルウェアを PC に 感 染 される 手 段 としてよく 使 われるのがドライブバイダウンロードです これは ブ ラウザーやブラウザーのプラグインに 存 在 する 脆 弱 性 を 悪 用 し ユーザーが Web ページを 閲 覧 したと きにマルウェアに 感 染 させる 攻 撃 です モバイル 端 末 でも 同 様 の 攻 撃 が 起 こり 得 ますが 攻 撃 に 成 功 するにはインターネットに 接 続 アプリケーション (PDF JPG DOC XLS PPT HTML などの 共 有 ファ イルを 開 くアプリケーション) に 脆 弱 性 が 存 在 する 必 要 があります これらのアプリケーションに 存 在 す る 脆 弱 性 の 数 が 減 少 しなければ 不 正 な URL を 使 用 した 攻 撃 の 頻 度 は 高 くなることが 予 測 されます フィッシングとホエーリング モバイル 端 末 に 対 するフィッシング 詐 欺 はすでに 発 生 しており 今 後 は 件 数 が 増 えるでしょう 65 フィッ シングはソーシャルエンジニアリングを 利 用 した 効 果 的 な 攻 撃 で デスクトップでもスマートフォンでも 攻 撃 の 手 口 は 同 じです ホエーリングはフィッシング 詐 欺 の 一 種 で 有 名 人 や 地 位 のある 人 物 (CEO CFO CTO など) を 標 的 にします この 手 口 は 段 階 的 な 標 的 型 攻 撃 でも 利 用 されます ホエーリングの 最 初 の 段 階 に 成 功 すると 組 織 内 の 複 数 の 対 象 に 攻 撃 を 拡 大 します 重 要 なデータを 継 続 して 盗 み 出 すには APT のインストールも 有 効 な 方 法 です APT とルートキット APT (Advanced Persistent Threats) は 自 身 の 存 在 を 隠 す 技 術 で 高 度 な 脅 威 と 言 われています こ の 技 術 はルートキット (ステルス 性 のあるマルウェア) でよく 使 用 されています OS が 改 善 されているにも 関 わらず ルートキットは Windows で 大 きな 問 題 となっています 2010 年 の DefCon で Android へのルートキットの 実 装 が 比 較 的 簡 単 であることが 発 表 されました 66 このデ モに 使 用 されたルートキットは 複 数 の Android OS に 対 応 していました しかし Android の 複 数 のバー ジョンに 対 して 攻 撃 を 実 行 するルートキットを 作 成 することは 簡 単 ではありません マルウェアの 開 発 者 は 移 植 性 の 問 題 を 解 決 して 複 数 のバージョンに 対 応 するルートキットを 作 成 する だけでなく 端 末 を 物 理 的 に 操 作 せずにルートキットをリモートから 配 布 しようと 考 えました この 手 段 を 実 現 するには リモートから root 権 限 で 不 正 なコードを 実 行 する 必 要 があります つまり リモート からコードを 実 行 するエクスプロイトと 権 限 昇 格 のエクスプロイトを 使 用 しなければなりません この 両 方 のエクスプロイトがなければリモートからの 配 布 は 不 可 能 です 特 に 前 者 のエクスプロイトがカーネ ルに 存 在 し すぐに root 権 限 でコードの 実 行 を 可 能 にする 必 要 があります スマートフォンにアクセスでき 正 確 な 仕 様 と OS の 設 定 が 分 かっていれば 工 場 や 店 舗 でスマートフォ ンにルートキットをインストールすることも 可 能 です この 方 法 では 移 植 性 の 問 題 も リモートから 配 布 する 場 合 の 問 題 も 解 決 できます ユーザーに 気 付 かれずに APT をインストールするには ロックさ れていないスマートフォンを 探 して 端 末 を 借 りる 必 要 があります 65. http://www.malwarecity.com/blog/mobile-phishing-do-you-know-where-that-link-leads-to-1021.html 66. https://www.defcon.org/images/defcon-18/dc-18-presentations/trustwave-spiderlabs/defcon-18-trustwave- Spiderlabs-Android-Rootkit-WP.pdf 23