• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版

HOMEエレクトロニクス機器狙われるスマートフォン > 第3回:攻撃の目的は金銭

狙われるスマートフォン

第3回:攻撃の目的は金銭

  • 中道 理=日経エレクトロニクス
  • 2011/02/16 00:00
  • 1/1ページ

 このようにスマートフォンを攻撃する試みが執拗に繰り返されるのは,攻略できればそれが即,金もうけに直結するからだ。

 スマートフォンにマルウエアを感染させることで実現できる代表的な“ビジネス”は,メール・アドレスの販売だ(図5)。スマートフォンの電話 帳をのぞけば,名前とメール・アドレスの両方を入手できる。しかも,これらはいずれも,ほぼ確実に相手に届く「質の高いメール・アドレス」である。友人関 係などのソーシャル・マップも含まれている。こうした情報は,迷惑メール業者に高く売れる。

図5 商業化するセキュリティー関連の犯罪マーケット
コンピュータ・セキュリティーにかかわるあらゆることがビジネスになる。攻撃のために必要なツールが匿名で手に入るし,攻撃の結果得られた個人情報を売却することも容易である。

 クレジットカード番号の販売も,商売のネタだ。打ち込んだ文字を記録して送信する「キーロガー」などを使い,Webサイトへのアクセスのログを調べて, ユーザーがオンライン・ショッピングなどの際に打ち込んだカード番号を盗む。同様の方法で,オンライン銀行のユーザーIDとパスワードも盗めてしまう注3)

注3) 現在,バックエンドでこっそりとキー入力を盗む「キーロガー」は,Android Marketにおいて見つかっていない。ただし,ソフトキーボード・アプリを装って,キーストロークを盗もうとする試みはあるようだ。なお最近では,おサイフケータイ機能がAndroid端末に搭載されつつあるが,このデータが改ざんされる危険性は低い。FeliCaチップに格納されたデータの復号/暗号化は端末上では実行されず,FeliCaチップ内またはサービス事業者のサーバー上で実施されるからである。

 このほか,犯罪者の支配下に置いたスマートフォンを恐喝の道具にするケースも考えられる。銀行サイトやオンライン・ショップ,オークション・サイトなど に対して「サービスを停止させられたくなければ金を払え」と脅すというものだ。要求が受け入れられなければ,世界中のスマートフォンを使って攻撃対象の Webサイトへのアクセス集中を引き起こし,サービス停止に追い込む。実際,「(マルウエアを仕込んだパソコンを手先に使った)恐喝は日常茶飯事のように 起こっている」(日本IBMの大西氏)という。

犯罪マーケットが既に存在

 特に厄介なのは,パソコンにおいては既に,マルウエアを使った攻撃が一大ビジネスになっていることだ。パソコン向けのマルウエアは初期の愉快犯的なものか ら現在の金銭目的に,その狙いが変わってきた。しかし,「スマートフォンでは,最初の段階から金もうけが目的で攻撃を仕掛けられてしまう」(トレンドマイ クロの斧江氏)。

 パソコンのマルウエアを巡る犯罪マーケットでは“ビジネス”を始めるためのあらゆる手段が整っている。マルウエアを作るノウハウがなければ,そのための ソース・コードを購入することができる。プログラムが書けなくてもグラフィカルなユーザー・インタフェースを持ち,機能を選んでいくだけでカスタマイズさ れたマルウエアを作り出せるツールが販売されている。また,プログラミングはできるが,マルウエアの感染を広げるための脆弱性攻撃プログラムの作り方が分 からない人のために,脆弱性攻撃コードが販売されている。

 スマートフォンの脆弱性や攻撃ツール,スマートフォンから集められた情報も,こうした“闇”のマーケットで取引されるようになるだろう。

 その兆候は既にある。Webサイトへのアクセスを介してマルウエアを仕込むためのソフトウエア・パッケージ「siberia exploit pack」にはiPhoneを攻撃対象として設定できることが確認されているのだ(図6)。

図6 iPhoneも標的に組み込まれる
図6 iPhoneも標的に組み込まれる
さまざまなWebブラウザーを攻略し,マルウエアを自動で組み込める機能を持つ「siberia exploit pack」を販売しているBBS。iPhoneやWindows Mobile,Opera Mobileなどモバイル機器のWebブラウザーがターゲットの一つになっているのが分かる。

おすすめ