• BPnet
  • ビジネス
  • PC
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
家電・モバイル ボリュームゾーンの最新動向を知る
 

第3回:攻撃の目的は金銭

中道 理=日経エレクトロニクス
2011/02/16 00:00
1/1ページ
出典:日経エレクトロニクス、2010年11月15日号 、pp.61-62 (記事は執筆時の情報に基づいており、現在では異なる場合があります)

 このようにスマートフォンを攻撃する試みが執拗に繰り返されるのは,攻略できればそれが即,金もうけに直結するからだ。

 スマートフォンにマルウエアを感染させることで実現できる代表的な“ビジネス”は,メール・アドレスの販売だ(図5)。スマートフォンの電話 帳をのぞけば,名前とメール・アドレスの両方を入手できる。しかも,これらはいずれも,ほぼ確実に相手に届く「質の高いメール・アドレス」である。友人関 係などのソーシャル・マップも含まれている。こうした情報は,迷惑メール業者に高く売れる。

図5 商業化するセキュリティー関連の犯罪マーケット
コンピュータ・セキュリティーにかかわるあらゆることがビジネスになる。攻撃のために必要なツールが匿名で手に入るし,攻撃の結果得られた個人情報を売却することも容易である。

 クレジットカード番号の販売も,商売のネタだ。打ち込んだ文字を記録して送信する「キーロガー」などを使い,Webサイトへのアクセスのログを調べて, ユーザーがオンライン・ショッピングなどの際に打ち込んだカード番号を盗む。同様の方法で,オンライン銀行のユーザーIDとパスワードも盗めてしまう注3)

注3) 現在,バックエンドでこっそりとキー入力を盗む「キーロガー」は,Android Marketにおいて見つかっていない。ただし,ソフトキーボード・アプリを装って,キーストロークを盗もうとする試みはあるようだ。なお最近では,おサイフケータイ機能がAndroid端末に搭載されつつあるが,このデータが改ざんされる危険性は低い。FeliCaチップに格納されたデータの復号/暗号化は端末上では実行されず,FeliCaチップ内またはサービス事業者のサーバー上で実施されるからである。

 このほか,犯罪者の支配下に置いたスマートフォンを恐喝の道具にするケースも考えられる。銀行サイトやオンライン・ショップ,オークション・サイトなど に対して「サービスを停止させられたくなければ金を払え」と脅すというものだ。要求が受け入れられなければ,世界中のスマートフォンを使って攻撃対象の Webサイトへのアクセス集中を引き起こし,サービス停止に追い込む。実際,「(マルウエアを仕込んだパソコンを手先に使った)恐喝は日常茶飯事のように 起こっている」(日本IBMの大西氏)という。

犯罪マーケットが既に存在

 特に厄介なのは,パソコンにおいては既に,マルウエアを使った攻撃が一大ビジネスになっていることだ。パソコン向けのマルウエアは初期の愉快犯的なものか ら現在の金銭目的に,その狙いが変わってきた。しかし,「スマートフォンでは,最初の段階から金もうけが目的で攻撃を仕掛けられてしまう」(トレンドマイ クロの斧江氏)。

 パソコンのマルウエアを巡る犯罪マーケットでは“ビジネス”を始めるためのあらゆる手段が整っている。マルウエアを作るノウハウがなければ,そのための ソース・コードを購入することができる。プログラムが書けなくてもグラフィカルなユーザー・インタフェースを持ち,機能を選んでいくだけでカスタマイズさ れたマルウエアを作り出せるツールが販売されている。また,プログラミングはできるが,マルウエアの感染を広げるための脆弱性攻撃プログラムの作り方が分 からない人のために,脆弱性攻撃コードが販売されている。

 スマートフォンの脆弱性や攻撃ツール,スマートフォンから集められた情報も,こうした“闇”のマーケットで取引されるようになるだろう。

 その兆候は既にある。Webサイトへのアクセスを介してマルウエアを仕込むためのソフトウエア・パッケージ「siberia exploit pack」にはiPhoneを攻撃対象として設定できることが確認されているのだ(図6)。

図6 iPhoneも標的に組み込まれる
図6 iPhoneも標的に組み込まれる
さまざまなWebブラウザーを攻略し,マルウエアを自動で組み込める機能を持つ「siberia exploit pack」を販売しているBBS。iPhoneやWindows Mobile,Opera Mobileなどモバイル機器のWebブラウザーがターゲットの一つになっているのが分かる。
【技術者塾】(2/23開催)
シグナル/パワーインテグリティーとEMC

〜高周波・低電圧設計に向けたノイズの課題と対策〜


本講座では、設計事例を基に、ノイズ対策がなぜ必要なのかを分かりやすく解説します。その上で、シグナルインテグリティー(SI)、パワーインテグリティー(PI)、EMCの基礎知識ならびにそれらがノイズ課題の解決にどのように関係しているかを、これまでの知見や経験に基づいた具体例を踏まえつつ解説を行います。 詳細は、こちら
日程 : 2016年2月23日
会場 : 化学会館
主催 : 日経エレクトロニクス
印刷用ページ
コメントする
コメントに関する諸注意(必ずお読みください)
※コメントの掲載は編集部がマニュアルで行っておりますので、即時には反映されません。

マイページ

マイページのご利用には日経テクノロジーオンラインの会員登録が必要です。

マイページでは記事のクリッピング(ブックマーク)、登録したキーワードを含む新着記事の表示(Myキーワード)、登録した連載の新着記事表示(連載ウォッチ)が利用できます。

協力メディア&
関連サイト

  • 日経エレクトロニクス
  • 日経ものづくり
  • 日経Automotive
  • 日経デジタルヘルス
  • メガソーラービジネス
  • 明日をつむぐテクノロジー
  • 新・公民連携最前線
  • 技術者塾
  • スポーツイノベイターズオンライン

Follow Us

  • Facebook
  • Twitter
  • RSS

お薦めトピック

日経テクノロジーオンラインSpecial

記事ランキング