家電・モバイル ボリュームゾーンの最新動向を知る
 

第4回:スマートフォンを狙う二つの手口

中道 理=日経エレクトロニクス
2011/02/18 00:00
出典:日経エレクトロニクス、2010年11月15日号 、pp.62-65 (記事は執筆時の情報に基づいており、現在では異なる場合があります)
印刷用ページ

 パソコンを狙ったこれまでの攻撃の傾向から,犯罪者がスマートフォンを狙う攻撃の手法は大きく二つに分類される(図7)。一つが,ユーザーを欺いてアプリ をインストールさせる方法である。先に述べたように,ゲームや壁紙,メディア・プレーヤーなどを装い,ユーザー自らにインストールさせるものだ。もう一つ が,ソフトウエアの脆弱性を突く方法である。特に,WebブラウザーやFlash Player,PDFのビューワなど,インターネットのコンテンツを表示するソフトウエアが狙われる可能性が高い。

図7 攻撃からの防御方法
マルウエアをインストールするように仕向ける攻撃と,Webブラウザーなどの脆弱性を突く攻撃があるが,いずれもネットワーク側/端末側での防御法がある。
[画像のクリックで拡大表示]

 前者の,ユーザーをだましてアプリをインストールさせる攻撃に対しては,アプリのうち危険なものを排除し,安全なものだけをインストールできるように制限をかけるのが有効だ。制限をかける場所としては,アプリ・マーケットと端末の二つがある。

 マーケットで制限するアプローチを採るのがApple社とKDDIだ。Apple社はApp Storeに登録する際にアプリを審査し,危険と思われるものは登録を許さない。KDDIは2010年8月下旬から,同社のアプリ・マーケット「au one Market」において,「セキュリティチェック機能」を提供している(図8)。これは,au one Marketに開発者がアプリを登録する際に,KDDIに安全性を確認してもらい,安全であることが確認されればセキュア・マークを付けてもらえるという もの。ユーザーはセキュア・マークを頼りにアプリを選ぶことで,マルウエアをスマートフォンに取り込む危険性を下げられる。

図8 マーケット運営者がアプリを評価
KDDIでは,アプリがどのような動作をするかを調べる評価システムを開発した(a)。KDDIが定めたポリシーに適合していれば「au one Market」にセキュア・マーク付きで登録される(b)。
[画像のクリックで拡大表示]
図9 ウイルス対策ソフトの例
図は,Symantec社の「Norton Mobile Security」。大手ウイルス対策ソフト・メーカー各社でも,同様製品の販売を始めている。
[画像のクリックで拡大表示]

 ただし,au one Marketに登録する際にアプリの評価は義務付けられておらず,検査料として3150円が必要であるため,セキュア・マークが取得されにくいという欠点がある。セキュア・マークが付いたアプリが少ないと,ユーザーの判断基準になりにくい。

 端末側での対策製品は,ウイルス対策ソフト・メーカー各社が積極的に投入している(図9)。古典的なウイルス対策ソフトと同じく,マルウエア のリストを持ち,これがダウンロードされたアプリと合致するかを検査する。リストはウイルス対策ソフト・メーカー側で作成し,定期的に端末に配信する。

 もっとも,この仕組みも完璧ではない。広告配信のための情報収集を狙ったアプリとマルウエアの線引きが難しいからだ。「怪しい動きをするのに,ウイルス対策ソフトでマルウエアとして指定されていないものが多数見受けられる」(KDDI研究所の竹森氏)という。

 逆に,安全であることが確認されているアプリのリストを作り,これ以外をインストールさせないという方法も考えられる。しかし,これではスマートフォン のオープン性という長所を削いでしまう。誰でもアプリを開発して配信できるというAndroidのオープン性を維持しながらも,安全なアプリが流通する仕 組みの構築には,まだ改善の余地がありそうだ。

未知の脆弱性防御も進化

 スマートフォンに搭載されるソフトウエアの脆弱性への攻撃に対しては,(1)セキュリティー・パッチの迅速な適用,(2)ネットワーク側でのコンテンツの制限,(3)端末側での防御,の三つが考えられる。しかし,現時点ではどの対策も発展途上といえる。

 (1)はソフトウエアに脆弱性が見つかった際に,即座にパッチを配信するという仕組みだ。パッチ配信の仕組み自体は,携帯電話事業者やスマートフォン・メーカーによって実装されている。

 (2)は攻撃が仕込まれたWebサイトに行くのを携帯電話事業者のネットワークなどでブロックする方法である。例えば,悪意あるページがあるURLへのアクセスを禁止する仕組みが考えられる。

 (3)は端末側でコンテンツやアクセス先の検査,アプリの挙動を監視する。最新のパソコン用ウイルス対策ソフトは,このような機能を備える。これまでに登場 していない攻撃も防げるように,内部で使われるデータの流れやAPIを監視して未知の攻撃を発見する機能の研究が進んでいる注4)

注4) Pennsylvania State University,Duke University,Intel社などが共同で研究している「TaintDroid」や,Symantec社の「Ubiquity」と呼ばれる技術などがある。

【9月15日(火)開催】触るインタフェース(応用編)
~ウエアラブルと身体性から読み解く次世代インタフェース~


ウエアラブルデバイスで触覚情報を利用するための基礎と最新技術や、全身触覚と身体性に着目した新しい触覚インタフェースの新潮流について解説する。この分野に精通する3人の講師が、様々な研究開発例とその実装方法を紹介する。詳細は、こちら
会場:BIZ新宿 (東京・西新宿)
コメントする
コメントに関する諸注意(必ずお読みください)
※コメントの掲載は編集部がマニュアルで行っておりますので、即時には反映されません。

マイページ

マイページのご利用には日経テクノロジーオンラインの会員登録が必要です。

マイページでは記事のクリッピング(ブックマーク)、登録したキーワードを含む新着記事の表示(Myキーワード)、登録した連載の新着記事表示(連載ウォッチ)が利用できます。

協力メディア&
関連サイト

  • 日経エレクトロニクス
  • 日経ものづくり
  • 日経Automotive
  • 日経デジタルヘルス
  • メガソーラービジネス
  • 明日をつむぐテクノロジー
  • 新・公民連携最前線
  • 技術者塾

Follow Us

  • Facebook
  • Twitter
  • RSS

お薦めトピック

日経テクノロジーオンラインSpecial

記事ランキング