このようにスマートフォンを攻撃する試みが執拗に繰り返されるのは,攻略できればそれが即,金もうけに直結するからだ。
スマートフォンにマルウエアを感染させることで実現できる代表的な“ビジネス”は,メール・アドレスの販売だ(図5)。スマートフォンの電話 帳をのぞけば,名前とメール・アドレスの両方を入手できる。しかも,これらはいずれも,ほぼ確実に相手に届く「質の高いメール・アドレス」である。友人関 係などのソーシャル・マップも含まれている。こうした情報は,迷惑メール業者に高く売れる。
クレジットカード番号の販売も,商売のネタだ。打ち込んだ文字を記録して送信する「キーロガー」などを使い,Webサイトへのアクセスのログを調べて, ユーザーがオンライン・ショッピングなどの際に打ち込んだカード番号を盗む。同様の方法で,オンライン銀行のユーザーIDとパスワードも盗めてしまう注3)。
注3) 現在,バックエンドでこっそりとキー入力を盗む「キーロガー」は,Android Marketにおいて見つかっていない。ただし,ソフトキーボード・アプリを装って,キーストロークを盗もうとする試みはあるようだ。なお最近では,おサイフケータイ機能がAndroid端末に搭載されつつあるが,このデータが改ざんされる危険性は低い。FeliCaチップに格納されたデータの復号/暗号化は端末上では実行されず,FeliCaチップ内またはサービス事業者のサーバー上で実施されるからである。
このほか,犯罪者の支配下に置いたスマートフォンを恐喝の道具にするケースも考えられる。銀行サイトやオンライン・ショップ,オークション・サイトなど に対して「サービスを停止させられたくなければ金を払え」と脅すというものだ。要求が受け入れられなければ,世界中のスマートフォンを使って攻撃対象の Webサイトへのアクセス集中を引き起こし,サービス停止に追い込む。実際,「(マルウエアを仕込んだパソコンを手先に使った)恐喝は日常茶飯事のように 起こっている」(日本IBMの大西氏)という。
犯罪マーケットが既に存在
特に厄介なのは,パソコンにおいては既に,マルウエアを使った攻撃が一大ビジネスになっていることだ。パソコン向けのマルウエアは初期の愉快犯的なものか ら現在の金銭目的に,その狙いが変わってきた。しかし,「スマートフォンでは,最初の段階から金もうけが目的で攻撃を仕掛けられてしまう」(トレンドマイ クロの斧江氏)。
パソコンのマルウエアを巡る犯罪マーケットでは“ビジネス”を始めるためのあらゆる手段が整っている。マルウエアを作るノウハウがなければ,そのための ソース・コードを購入することができる。プログラムが書けなくてもグラフィカルなユーザー・インタフェースを持ち,機能を選んでいくだけでカスタマイズさ れたマルウエアを作り出せるツールが販売されている。また,プログラミングはできるが,マルウエアの感染を広げるための脆弱性攻撃プログラムの作り方が分 からない人のために,脆弱性攻撃コードが販売されている。
スマートフォンの脆弱性や攻撃ツール,スマートフォンから集められた情報も,こうした“闇”のマーケットで取引されるようになるだろう。
その兆候は既にある。Webサイトへのアクセスを介してマルウエアを仕込むためのソフトウエア・パッケージ「siberia exploit pack」にはiPhoneを攻撃対象として設定できることが確認されているのだ(図6)。
