• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版

HOMEエレクトロニクス機器狙われるスマートフォン > 第4回:スマートフォンを狙う二つの手口

狙われるスマートフォン

第4回:スマートフォンを狙う二つの手口

  • 中道 理=日経エレクトロニクス
  • 2011/02/18 00:00
  • 1/1ページ

 パソコンを狙ったこれまでの攻撃の傾向から,犯罪者がスマートフォンを狙う攻撃の手法は大きく二つに分類される(図7)。一つが,ユーザーを欺いてアプリ をインストールさせる方法である。先に述べたように,ゲームや壁紙,メディア・プレーヤーなどを装い,ユーザー自らにインストールさせるものだ。もう一つ が,ソフトウエアの脆弱性を突く方法である。特に,WebブラウザーやFlash Player,PDFのビューワなど,インターネットのコンテンツを表示するソフトウエアが狙われる可能性が高い。

図7 攻撃からの防御方法
マルウエアをインストールするように仕向ける攻撃と,Webブラウザーなどの脆弱性を突く攻撃があるが,いずれもネットワーク側/端末側での防御法がある。
[画像のクリックで拡大表示]

 前者の,ユーザーをだましてアプリをインストールさせる攻撃に対しては,アプリのうち危険なものを排除し,安全なものだけをインストールできるように制限をかけるのが有効だ。制限をかける場所としては,アプリ・マーケットと端末の二つがある。

 マーケットで制限するアプローチを採るのがApple社とKDDIだ。Apple社はApp Storeに登録する際にアプリを審査し,危険と思われるものは登録を許さない。KDDIは2010年8月下旬から,同社のアプリ・マーケット「au one Market」において,「セキュリティチェック機能」を提供している(図8)。これは,au one Marketに開発者がアプリを登録する際に,KDDIに安全性を確認してもらい,安全であることが確認されればセキュア・マークを付けてもらえるという もの。ユーザーはセキュア・マークを頼りにアプリを選ぶことで,マルウエアをスマートフォンに取り込む危険性を下げられる。

図8 マーケット運営者がアプリを評価
KDDIでは,アプリがどのような動作をするかを調べる評価システムを開発した(a)。KDDIが定めたポリシーに適合していれば「au one Market」にセキュア・マーク付きで登録される(b)。
[画像のクリックで拡大表示]
図9 ウイルス対策ソフトの例
図は,Symantec社の「Norton Mobile Security」。大手ウイルス対策ソフト・メーカー各社でも,同様製品の販売を始めている。
[画像のクリックで拡大表示]

 ただし,au one Marketに登録する際にアプリの評価は義務付けられておらず,検査料として3150円が必要であるため,セキュア・マークが取得されにくいという欠点がある。セキュア・マークが付いたアプリが少ないと,ユーザーの判断基準になりにくい。

 端末側での対策製品は,ウイルス対策ソフト・メーカー各社が積極的に投入している(図9)。古典的なウイルス対策ソフトと同じく,マルウエア のリストを持ち,これがダウンロードされたアプリと合致するかを検査する。リストはウイルス対策ソフト・メーカー側で作成し,定期的に端末に配信する。

 もっとも,この仕組みも完璧ではない。広告配信のための情報収集を狙ったアプリとマルウエアの線引きが難しいからだ。「怪しい動きをするのに,ウイルス対策ソフトでマルウエアとして指定されていないものが多数見受けられる」(KDDI研究所の竹森氏)という。

 逆に,安全であることが確認されているアプリのリストを作り,これ以外をインストールさせないという方法も考えられる。しかし,これではスマートフォン のオープン性という長所を削いでしまう。誰でもアプリを開発して配信できるというAndroidのオープン性を維持しながらも,安全なアプリが流通する仕 組みの構築には,まだ改善の余地がありそうだ。

未知の脆弱性防御も進化

 スマートフォンに搭載されるソフトウエアの脆弱性への攻撃に対しては,(1)セキュリティー・パッチの迅速な適用,(2)ネットワーク側でのコンテンツの制限,(3)端末側での防御,の三つが考えられる。しかし,現時点ではどの対策も発展途上といえる。

 (1)はソフトウエアに脆弱性が見つかった際に,即座にパッチを配信するという仕組みだ。パッチ配信の仕組み自体は,携帯電話事業者やスマートフォン・メーカーによって実装されている。

 (2)は攻撃が仕込まれたWebサイトに行くのを携帯電話事業者のネットワークなどでブロックする方法である。例えば,悪意あるページがあるURLへのアクセスを禁止する仕組みが考えられる。

 (3)は端末側でコンテンツやアクセス先の検査,アプリの挙動を監視する。最新のパソコン用ウイルス対策ソフトは,このような機能を備える。これまでに登場 していない攻撃も防げるように,内部で使われるデータの流れやAPIを監視して未知の攻撃を発見する機能の研究が進んでいる注4)

注4) Pennsylvania State University,Duke University,Intel社などが共同で研究している「TaintDroid」や,Symantec社の「Ubiquity」と呼ばれる技術などがある。

【技術者塾】
「1日でマスター、実践的アナログ回路設計」(2016年8月30日(木))


コツを理解すれば、アナログ回路設計は決して難しくはありません。本講義ではオペアンプ回路設計の基本からはじめて、受動部品とアナログスイッチや基準電圧などの周辺回路部品について学びます。アナログ回路設計(使いこなし技術)のコツや勘所を実践的に、かつ分かりやすく解説いたします。。詳細は、こちら
日時:2016年8月30日(火)10:00~17:00
会場:エッサム神田ホール(東京・神田)
主催:日経エレクトロニクス

おすすめ ↓スクロールすると、関連記事が読めます↓