No.11-024 2011.8.10 情 報 セキュリティニュース <2011 No.2> スマートフォンのセキュリティ 2011 年 のスマートフォンの 世 界 出 荷 数 は 4 億 2,000 万 台 でパソコンを 超 える 見 通 しとなっている また 日 本 においても 2015 年 にはスマートフォンの 契 約 台 数 がフィーチャーフォン( 注 1)を 逆 転 し 6,000 万 人 を 越 える 日 本 人 がスマートフォンを 所 持 すると 言 われている 一 方 その 最 中 で スマ ートフォンを 狙 うコンピューターウイルス( 悪 質 なプログラム)も 次 々と 出 現 している ウイルスの 主 な 標 的 となっているのは グーグルの OS Android(アンドロイド) を 搭 載 したスマートフォンで ある ウイルスが 埋 め 込 まれたアプリケーションを 実 行 すると 個 人 情 報 を 盗 まれたり スマートフ ォンを 遠 隔 から 勝 手 に 操 作 されたりするウイルス 感 染 の 報 告 が 2010 年 8 月 以 降 から 徐 々に 増 え 始 めた このようなスマートフォンにおけるウイルスは パソコン 向 けウイルスと 比 べると 現 時 点 での 確 認 例 は 少 ないが 今 後 増 えていく 可 能 性 は 高 い 本 稿 ではその 危 険 性 を 認 識 するために スマートフォン とそのセキュリティについて 詳 述 する 注 1: 通 話 とショートメッセージサービスなど 限 定 された 機 能 を 持 つベーシック フォンやシンプルフ ォンから 進 化 し インターネットに 接 続 でき アプリケーションが 動 作 するほか GPS ワンセグ デ ジタル カメラでの 静 止 画 動 画 の 撮 影 音 楽 再 生 機 能 などが 追 加 された 端 末 のこと 1. スマートフォン 市 場 規 模 の 拡 大 2011 年 3 月 末 の 日 本 におけるスマートフォン 契 約 数 は 955 万 件 で 端 末 総 契 約 数 1 億 912 万 件 に 対 するスマートフォン 契 約 比 率 は 8.8%となった さらに 2012 年 3 月 末 には 2,598 万 件 (23.1%)と なり その 後 1 年 ごとに 平 均 10% 程 度 の 成 長 率 を 見 せ 2015 年 3 月 末 には 6,137 万 件 (50.9%)に 達 し スマートフォン 契 約 数 がフィーチャーフォンを 抜 いて 過 半 数 を 超 えると 予 測 されている( 図 1) 特 にアンドロイド OS を 搭 載 したスマートフォンの 市 場 普 及 成 長 率 が 高 く 2011 年 3 月 末 の 時 点 では 既 に 市 場 の 50% 程 度 の 普 及 率 を 見 せる ios(i-phone の OS)に 迫 るシェアの 割 合 となり( 図 2) 2011 年 度 以 降 のスマートフォン 出 荷 台 数 に 占 める OS 別 シェアにおいてはアンドロイドが 70% 以 上 で 推 移 すると 予 測 されている 図 1.スマートフォン 契 約 数 比 率 の 推 移 予 測 ( 出 典 :MM 総 研 ) 図 2.スマートフォンの OS 別 契 約 数 シェア (11 年 3 月 末 )( 出 典 :MM 総 研 ) 1
2. アンドロイド OS 搭 載 スマートフォンの 危 険 性 アンドロイド OS を 搭 載 したスマートフォンを 狙 ったウイルスは 2010 年 8 月 に 初 めて 見 つかり それ 以 降 次 々と 種 類 の 異 なるウイルスが 発 生 したことが 大 手 セキュリティソフト 会 社 によって 確 認 されている 2010 年 8 月 から 近 年 までに 発 見 されたアンドロイド OS 用 ウイルスの 一 覧 を 表 1 に 示 す 表 1.アンドロイド OS を 狙 ったウイルスの 種 類 出 現 時 期 名 称 特 徴 配 布 場 所 動 画 再 生 アプリに 見 せかける 非 公 式 の 2010 年 8 月 FakePlayer 有 料 のメッセージサービスを 勝 配 布 サイト 手 に 利 用 される 2010 年 8 月 Tap Snake 2010 年 12 月 Geinimi 2011 年 3 月 DroidDream ゲームアプリに 潜 伏 機 器 の 位 置 情 報 を 取 得 し 特 定 のサー バーへ 送 信 する 複 数 のゲームアプリに 潜 伏 機 器 を 乗 っ 取 り 攻 撃 者 が 操 作 で きるようにする 50 種 類 以 上 のアプリに 潜 伏 機 器 を 乗 っ 取 り 攻 撃 者 が 操 作 で きるようにする Androidマー ケット( 現 在 は 公 開 中 止 ) 非 公 式 の 配 布 サイト Androidマー ケット( 現 在 は 公 開 中 止 ) ( 出 典 : 日 本 経 済 新 聞 ) 発 見 されたウイルスは いずれもアンドロイド OS 搭 載 のスマートフォン 上 で 起 動 するゲームや 動 画 のアプリケーション 内 に 潜 入 し ユーザーが 気 づかないうちにプログラムを 実 行 するよう 巧 妙 に 仕 組 まれているものばかりである また その 感 染 ルートは 非 公 式 の 配 布 サイトからのアプリケ ーションのダウンロードによるウイルス 感 染 だけではなく 公 式 のアンドロイドマーケットからダ ウンロードしたアプリケーションからもウイルスが 検 出 されていることが 特 徴 と 言 える ユーザー から 見 ると 公 式 サイト からのダウンロードという 認 識 が 安 心 感 を 生 むと 考 えられるが アンド ロイドマーケットは 開 発 者 が 自 由 にアプリケーションを 開 発 し google による 必 要 最 低 限 の 審 査 (ア ダルトや 暴 力 差 別 的 な 内 容 等 を 含 まないこと)さえクリアすれば 登 録 できてしまうため アプリ ケーションのプログラムに 対 しての 検 閲 が 無 いに 等 しいことに 注 意 が 必 要 である 一 方 同 じスマートフォンでもアプリケーションを 公 式 サイトに 登 録 する 際 に 米 Apple 社 の 審 査 が 必 要 な i-phone においては ある 程 度 安 全 性 が 高 いと 言 える ただし サイバー 犯 罪 者 はここに も 既 に 抜 け 道 を 見 つけつつあり アンドロイド OS で 最 初 のウイルスの 見 つかった 時 期 と 同 じ 2010 年 8 月 に ウェブページを 開 いただけで 勝 手 に i-phone のアプリケーションがインストールされる ウイルスが 発 見 されている これは i-phone の OS を 狙 った 攻 撃 の 準 備 段 階 として 捉 えることがで き 今 後 大 きなセキュリティ 問 題 が 発 生 する 前 に ウイルスに 対 する 対 策 を 講 じておくことが 肝 要 であると 考 えられる 3. ウイルスに 感 染 しないための 個 人 の 留 意 点 近 年 増 加 してきたスマートフォンのウイルス 攻 撃 に 対 して 個 々 人 が 日 々の 使 用 の 中 で 気 をつけ るべき 留 意 点 は 次 のようなことである 現 在 までのところ スマートフォンに 対 するウイルスの 攻 撃 は ユーザーがダウンロードするア プリケーションに 対 してウイルスを 潜 ませ 不 正 に 個 人 情 報 やクレジットカード 情 報 を 入 手 したり 端 末 を 操 作 する 方 法 に 留 まっている( 図 3) 従 って ユーザー 自 身 でアプリケーションについての 信 頼 性 を 確 認 したり ダウンロードやインストール 時 の 挙 動 に 注 意 を 払 うことで 概 ねウイルス 感 染 を 予 防 できると 考 えられる 2
図 3.スマートフォンへのウイルス 攻 撃 イメージ 1 アプリケーションの 配 布 元 を 確 認 する 表 1 より 2010 年 に 確 認 されたスマートフォンを 狙 った 2 種 類 のウイルス (FakePlayer,Jeinimi)はいずれも 非 公 式 のアプリケーション 配 布 サイトからダウンロード されたアプリケーションより 検 出 されている 公 式 サイト 以 外 からのアプリケーションのダ ウンロードについては google や Apple 等 によるセキュリティ 審 査 が 全 く 行 われていないた め 公 式 サイトと 比 較 してウイルス 感 染 の 危 険 性 が 高 く 推 奨 できない 2 アプリケーションの 開 発 元 を 確 認 する アプリケーションの 配 布 元 が 公 式 サイトだからと 言 って 油 断 もできない 表 1 に 示 したウイル スの 内 2010 年 8 月 に 確 認 された Tap Snake と 2011 年 3 月 に 確 認 された DroidDream については Android 携 帯 のアプリケーション 配 布 公 式 サイトである Android マーケットからダウンロードさ れたアプリケーションより 確 認 されたものである 特 に DroidDream が 仕 込 まれた 違 法 コピーア プリケーションは 50 種 類 以 上 も 確 認 されており その 中 には 誰 もが 聞 いたことのある 有 名 なア プリケーションの 違 法 コピーもあったことから アプリケーションの 名 前 のみで 判 断 せず 開 発 元 までしっかりと 確 認 することが 重 要 である アプリケーションをダウンロードする 際 に デベロッパー 情 報 を 必 ず 確 認 し HP 等 が 公 開 され ている 場 合 はアクセスしてその 信 頼 性 を 確 認 する 3 アプリケーションのインストール 時 の アクセス 許 可 を 確 認 する 単 純 なゲームを 楽 しむためのアプリケーションにも 関 わらず インストール 時 に 個 人 情 報 を 取 得 することの 許 可 を 求 めてきたり 有 料 の 通 話 やメールを 送 信 する 許 可 を 求 めてくるようなアプ リケーションの 場 合 ウイルスの 存 在 を 疑 うべきである スマートフォンでは アプリケーショ ンのインストール 時 に そのアプリケーションが 行 う 動 作 項 目 を 列 挙 する 表 示 が 必 ずあるため その 時 点 で 不 審 な 項 目 があればインストールを 中 止 した 方 が 良 い アプリケーションのインストール 時 に 求 められる 許 可 項 目 で 注 意 すべき 項 目 ( 無 料 のゲームの 場 合 ) 料 金 の 発 生 の 許 可 を 求 める 表 示 E メールや SMS(ショートメールサービス)の 送 受 信 許 可 を 求 める 表 示 ユーザーの 現 在 地 情 報 を 求 める 表 示 インターネットへのアクセス 許 可 を 求 める 表 示 ストレージ(SD カード 内 の 情 報 )データの 削 除 や 修 正 を 求 める 表 示 3
4. スマートフォンのセキュリティソフト パソコンと 同 じくスマートフォンにもウイルス 対 策 (ウイルスを 検 出 駆 除 )ソフトが 続 々 開 発 さ れてきている スマートフォンを 従 業 員 に 情 報 端 末 として 配 布 している 企 業 においては このような ウイルス 対 策 ソフトのインストールを 徹 底 させる 必 要 がある 以 下 ウイルス 対 策 ソフトメーカー 大 手 各 社 が 開 発 しているソフトの 特 徴 を 紹 介 する 4-1. Android 端 末 用 セキュリティソフト ALYac Android 悪 意 のあるプログラム コードやアプリケーションの 精 密 スキャンと 駆 除 除 去 そしてリア ルタイム 監 視 による 危 険 なアプリの 確 認 通 知 さらには 定 期 的 なウィルス マルウェアのパタ ーン 定 義 ファイルデータベースの 更 新 もある 特 徴 は インターフェイスが 日 本 語 のアプリで あることで 操 作 設 定 もわかりやすく 日 本 人 スマートフォン ユーザーに 優 しいウィルス 対 策 アプリケーションであると 言 える Norton Mobile Security 平 時 に 悪 意 ある 脅 威 をもったアプリケーションからの 防 御 を 行 ってくれることはもちろん リ モートロック 機 能 による 個 人 情 報 のロック GPS リモート 検 索 機 能 個 人 情 報 などの 遠 隔 消 去 機 能 SIM カードロックによる 端 末 自 動 強 制 ロック 機 能 等 の 機 能 も 付 いており スマートフォン 端 末 を 紛 失 した 場 合 の 遠 隔 操 作 によるセキュリティ 防 御 機 能 も 充 実 している Dr.Web for Android 海 外 では Dr.Web Mobile Security Suite の 名 称 で 100 万 ダウンロードを 超 える 実 績 がある スマートフォン 用 アンチウイルスソフトである 直 感 的 でわかりやすい 操 作 法 インターフェー スと 高 度 な 防 御 機 能 により 個 人 法 人 を 問 わず 多 くのユーザーが 利 用 している Android 携 帯 を 使 用 するユーザーのもう 一 つの 悩 みであるバッテリー 消 費 に 関 しても パフォーマンスへの 影 響 を 最 小 限 に 抑 えることで 省 エネを 果 たしている ノンストップアンチウイルスと 呼 ばれる 主 要 機 能 が 付 いており メモリに 保 存 してある 全 てのファイルをリアルタイムにスキャンし 悪 意 の あるプログラムからシステムを 保 護 することが 可 能 である 4-2. i-phone 用 セキュリティソフト VirusBarrier X6 パソコンに i-phone を 接 続 した 状 態 で i-phone 内 のマルウェアや 悪 意 のあるファイルのスキ ャンが 可 能 である 尚 常 駐 タイプのセキュリティソフトは i-phone では 開 発 されていない Android 端 末 では 近 年 ウイルスの 確 認 事 例 が 多 発 していることもあり 開 発 されている ウイルス 対 策 ソフトも 多 機 能 化 されている 悪 意 のあるプログラムから 端 末 を 保 護 する 機 能 は どのソフトも 充 実 しているため 企 業 においては それ 以 外 の 機 能 で 自 社 におけるスマートフ ォンの 使 用 目 的 と 照 らし 合 わせ 必 要 と 思 われる 機 能 が 付 与 されているソフトを 選 定 すること が 肝 要 である 一 方 i-phone においては i-phone の 機 種 によってマルチタスク( 注 2)を 行 えない 機 種 が あるという 機 能 的 な 問 題 i-phone でアプリケーションをダウンロードする 公 式 サイトである Mac App Store では 厳 正 なアプリケーションのプログラム 審 査 を 行 っており 不 正 なソフト に 対 する 安 全 性 は 高 いという 観 点 から 現 状 常 駐 型 のウイルス 対 策 ソフトはどのメーカーか らも 公 開 されていない しかし いつ 何 時 それらの 審 査 を 巧 妙 に 潜 り 抜 ける 不 正 ソフトが 現 れないとも 限 らないので i-phone を 業 務 に 利 用 している 企 業 においては そのセキュリティ 4
動 向 に 注 意 を 傾 けておく 必 要 がある 注 2: 同 時 に 二 つ 以 上 のプログラムを 実 行 すること 常 駐 型 のウイルス 対 策 ソフトを 実 行 すると その 他 のプログラムが 実 行 できなくなる 5. おわりに 2011 年 5 月 25 日 に 日 本 スマートフォンセキュリティフォーラム が 設 立 された このフォーラ ムには パソコン 向 けセキュリティソフトを 手 掛 ける 米 シマンテックやトレンドマイクロ 通 信 機 器 のシスコシステムズなど 内 外 40 社 を 含 む 企 業 が 参 加 している さらには スマートフォン 向 け OS を 開 発 した google や Apple も 参 加 を 表 明 し 企 業 が 安 全 にスマートフォンを 利 用 するための 方 策 を 2011 年 10 月 までにまとめる 方 針 となっている しかし サイバー 犯 罪 者 によるウイルス 攻 撃 は 年 々 巧 妙 化 しており これら 団 体 が 打 ち 出 した 方 針 や 対 策 も 絶 対 的 に 安 全 な 策 では 無 いと 言 うことを 企 業 におい ては 認 識 する 必 要 がある パソコンよりも 簡 単 に 自 社 の 重 要 なデータを 持 ち 運 びできるスマートフォンでは むしろパソコン よりも 高 いレベルのセキュリティ 対 策 を 敷 き 自 社 データを 守 ることが 肝 要 である インターリスク 総 研 コンサルティング 第 二 部 BCM 第 二 グループ 主 任 コンサルタント 橘 田 生 基 (キッタ セイキ) 株 式 会 社 インターリスク 総 研 は MS&ADインシュアランスグループに 属 する リスクマネジメ ントについての 調 査 研 究 およびコンサルティングに 関 する 専 門 会 社 です 弊 社 では 情 報 セキュリティに 関 するコンサルティング セミナー 等 を 実 施 しております コンサルティングに 関 するお 問 い 合 わせ お 申 込 み 等 は 下 記 の 弊 社 お 問 い 合 わせ 先 または あ いおいニッセイ 同 和 損 保 三 井 住 友 海 上 の 各 社 営 業 担 当 までお 気 軽 にお 寄 せ 下 さい お 問 い 合 せ 先 インターリスク 総 研 コンサルティング 第 二 部 TEL.03-5296-8918 http://www.irric.co.jp/ 本 誌 は マスコミ 報 道 など 公 開 されている 情 報 に 基 づいて 作 成 しております また 本 誌 は 読 者 の 方 々が 企 業 の 情 報 セキュリティへの 取 り 組 みを 推 進 する 際 に 役 立 てていた だくことを 目 的 としたものであり 事 案 そのものに 対 する 批 評 その 他 を 意 図 しているものではあり ません 不 許 複 製 /Copyright 株 式 会 社 インターリスク 総 研 2011 5