スマートフォンの普及や高度化、サービスの多様化に伴い、モバイル機器のセキュリティ対策の重要性が増している。そのモバイル機器のセキュリティ対策を論じたセミナー「モバイル機器の未来を握るセキュリティ」(主催:米Cryptography Research社(CRI))が2013年11月12日に東京で開かれた。
最初に登壇したのは、KDDI研究所の竹森 敬祐氏(ネットワークセキュリティグループ 研究マネージャー)である(図1)。肩書きから察せられるように、KDDI(au)の携帯電話のセキュリティの元締め役だ。同氏は「スマートフォンの最新セキュリティ」というタイトルで講演した。最初にスマホを取り巻く3つの脅威として、端末の紛失、リスクを伴うソフトウエア(リスクウエア)への感染、利用者の悪用/リテラシー不足を挙げた。
リスクウエアにはさまざまなタイプがあり、その具体例を複数紹介した。中でも厄介なリスクウエアの1つが、管理者権限を奪って端末で好き勝手なことをしでかすマルウェアである。竹森氏は講演の中で、スマホのソフトウエア基盤である「Android」のRoot権限奪取攻撃に対する「備え」について最新情報を含めて説明した。
remountコマンドが実行されて管理者権限を奪われる事態がAndroidでは発生する。古いバージョンのAndroidでは、こうした攻撃にあまり対策が取られていなかったが、最近は、攻撃を受ける機会を減らしたり、管理者権限を奪われても被害を減らすような対策が盛り込まれるようになっている。「SE(Secure Enhanced) Android」に進化しつつある。
例えば、SELinuxの強制アクセス制御(MAC:Mandatory Access Control)を利用する。実行していいことを複数のルールで明示的に定義しておき(ホワイト・ルール・セット化)、これが成り立たないと管理者権限でも実行を禁止とする。Android4.3以降はSELinuxの強制アクセス制御を無効にするオプションがなくなった。ただし、有効なホワイト・ルール・セットの作り方などに課題が残っている。