SPECIAL CONTENTS

特集 | ビジネスやITの最新動向/技術についてセキュリティ観点からレポート

モバイルデバイスの脅威と脆弱性を振り返る――2014~2015年を中心に

この記事をシェア

スマートフォンを中心としたモバイルデバイスのセキュリティは、ほんのわずかな期間に劇的に普及したために、セキュリティ対策が十分に追い付いていないのが現状である。特に、2014年から2015年に起こった出来事は、現状の課題を明らかにする上で大きな分岐点となった。

この記事は、ESETのセキュリティ専門家たちによって執筆されたホワイトペーパー「TRENDS 2016 (IN) SECURITY EVERYWHERE」の第7章「MOBILE DEVICES: THREATS AND VULNERABILITIES」を翻訳したものである。

モバイルデバイスの脅威と脆弱性を振り返る――2014~2015年を中心に

スマートフォンやタブレットが次第に秘匿情報を扱うようになるに従い、これらのデータはサイバー攻撃の対象として狙われるようになった。主なリスクシナリオは旧来同様、デバイスを紛失するか、知らないところで不正アプリをインストールされることであるが、攻撃の結果がより深刻かつ致命的になってきている。

モバイルセキュリティの現状

モバイルに関する技術を安全に利用する観点について、社会がどこに向かっているのかを理解するべく、まずは、現時点においてモバイル端末がどの程度保護されているのかを評価するところから始めたい。これにより、モバイルセキュリティに関する現状と目標について、その概要を理解することができるからである。

振り返ってみると2014年は、情報セキュリティ業界ではさまざまなイベントがあった。「ハートブリード」(Heartbleed)「シェルショック」(Shellshock)「プードル」(Poodle)をはじめ、影響力の大きいシステムの致命的な脆弱性が発見され、OSとアプリを常に最新版にアップデートすることの重要性が示された。

モバイルシステムもこのトレンドから逃れることはできない。例えば、ハッカーたちは盗難・紛失時にiPhoneをブロックするクラウドコンピューティングサービス「iCloud」を無効化する手段を発見した。このセキュリティの欠陥は、iPhoneのロックを遠隔から解除することを可能にした。

他方、Androidにおいては、ブラウザのセキュリティのメカニズムをすり抜ける脆弱性が発見された。このバグによって、当該端末上で閲覧されているサイトに対してハッカーがアクセスやコントロールを行うことを可能にした。具体例を挙げると、Facebookアカウントのセキュリティを侵害できることを、セキュリティ専門家は指摘した。

マルウェアについては、Androidデバイスを標的とした各種ランサムウェアが登場した。その結果、「ポリスウイルス」(Police Virus)がAndroid向けとなって再登場した。

例えば、ESETは「シンプロッカー」(Android/Simplocker)というランサムウェアを分析したが、これはAndroidデバイスのSDカードに対し、特定の形式のファイルを探し出して暗号化したところで、ファイルの復号をするための「身代金」を要求する。GoogleのOSを狙った「ファイルコーダー」(Filecoder)ファミリーの最初のマルウェアであり、JPEG、JPG、PNG、GIF、DOC、AVI、MP4などの拡張子を持つファイルに対して攻撃する。

ランサムウェアは拡散を続け、「ロッカー」(Android/Locker)として知られるマルウェアも登場した。ウイルス対策アプリを装い、管理者権限を付与するようユーザーに要求する。この権限を取得すると、システムの制御を掌握されるため、アンインストールするのが困難になる。

2014年末には、さらに新たなタイプのランサムウェアが登場した。ブラウザを用いて児童ポルノ写真を表示し、FBIの名をかたってデバイスをロックするものである。一度インストールされるとマルウェアである「ポーンドロイド」(Porn Droid)がユーザーにシステムの管理者権限を付与するよう要求し、その権限を用いてデバイスのスクリーンをロックする。

さらに、Androidプラットフォーム向けに開発されてきたトロイの木馬は、かなり洗練されており、闇市場やソーシャルネットワークを通じて広く拡散した。例えば、「アイバンキング」(iBanking)というユーザーの通信を盗聴できるマルウェアのケースでは、幾つかの金融機関が利用している2要素認証を回避する。

iOSに話を移すと、「ワイヤーラーカー」(WireLurker)というマルウェアに着目したい。これはMacとiPhoneのシステムを攻撃対象とし、「ジェイルブレイク」(ユーザーによる無断改造)されていないデバイスにも感染する最初のマルウェアの1つである。BBCによると、約400のアプリが感染し、35万回以上もダウンロードされた。

従来のトレンドが顕著に再来

2015年になると、2014年に鮮明となっていたトレンドがより顕著なものとなり、モバイル上に確固たる地位を確立し、新たなルールをつくり上げるに至った。すなわち、サイバー犯罪者はその活動をより進化させ、脅威の種類の多様化と高度化を遂げ、より組織化されたマルウェア拡散攻撃が登場するに至った。その中には、新たな感染方法や脅威の除外を妨げようとするものなども存在した。

一年を通じ、多数の脆弱性が発見され、その脆弱性を突いた攻撃は攻撃者がデバイスの制御を奪取するのに非常に有効とされた。

OSベンダーはプラットフォームのアップデートをより速く実現しなければならないというプレッシャーが強まっている。AndroidのようなOSにおいてアップデートの遅延は大きな課題である。スマートフォン機器業者の多くは異なるプライオリティーを持っているため、重要なアップデートがエンドユーザーの端末に適用されるのに時間がかかってしまっているのが現状である。

攻撃がより激しくなった結果、何百ものマルウェアが正当なアプリを提供する正規のアプリマーケットに入り込むことに成功した。これは今なお課題となっており、モバイルOSを提供するメーカーは、不正活動を検出する手法を発展させていく必要がある。

ランサムウェアは、サイバー犯罪の世界において最も収益の上がる活動の一つであり、モバイルプラットフォームへの感染が多発している。デバイスをロックする新たな技術を備えており、各種デバイスのセキュリティを侵害するために多種多様な技術が存在している。

さらには、攻撃者はWhatsAppやFacebookなどの人気の高いモバイルプラットフォーム用アプリを利用し、従来のソーシャルエンジニアリング技術を活用することにより、プラットフォームを超えたマルウェアの拡散攻撃を実行している。

インシデントがユーザーに与える影響

サイバー犯罪者が特定のプラットフォームに焦点を定めるに当たって、2つの要因が決定的に作用している。それは、ユーザー数の規模と攻撃できる脆弱性の数である。世界中で数多くのコンピューターとモバイル端末が利用されているため、1つのマルウェア拡散の影響を受ける被害者の数も増加している。脆弱性の全くないOSなど存在しないため、あるプラットフォームを標的にした脅威の数は、そのユーザー数にダイレクトに比例することとなる。

このことを鑑みると、最も脅威にさらされるシステムを特定し、モバイル向けの脅威のおおよそのインパクトを推定する一つの手法は、各OSのマーケットシェアを比較することであると考えられる。ガートナー(Gartner)社によると、2015年の第2四半期におけるシェアは、Androidが82.2%、iOSが14.6%、Windows Phoneが2.5%、BlackBerryが0.3%であった。Appleのシェアは少しずつ上昇し、Androidは前年の同時期と比べてシェアを縮小しているものの、市場トップを維持し続けている。これは、Androidセキュリティの脆弱性が顕在化すると、世界中の何百万人ものユーザーが危険にさらされることを意味している。

一方、新たな疑問がここで湧き上がってくる。以前よりもiPhoneやiPad向けの脅威は増大しているのではないか、という疑問である。答えは「イエス」である。iOSに関して言えば、2015年初頭にESET製品が検知した脅威数を2014年同時期と比較すると、2倍に増えた。

これらのマルウェアファミリーの大部分は ユーザーを欺き、情報を収集するというソーシャルエンジニアリング技術を用いてiOSシステムのセキュリティを侵害する。また、これらのシステムには多数の脆弱性が発見されているが、OSやアプリのアップデートをタイムリーに適用できない際には、ユーザーを危険な状態にさらすことになる。 同様に、ユーザーによる無断改造、即ち、ジェイルブレイクされたデバイス(iOSの場合)、もしくは「ルート化」されたデバイス(Androidの場合)は、トロイの木馬やワーム、バックドアなど、さまざまなマルウェアの侵入を許しかねない。これは、ジェイルブレイクにより、ユーザーがあえて許可しなくとも管理者権限を要するコマンドを不正コードが実行しやすくなるためである。また、ジェイルブレイクしてしまうと、プラットフォーム利用者が活用できるはずのアップデートのメカニズムがうまく機能しなくなるのである。

その結果、システムの最新版の取得やセキュリティパッチの適用などが困難になり、そのデバイスは攻撃に対して脆弱になっていく。

分岐点としての 2015年――多数の脆弱性の発見

何百万人にも利用されているアプリに脆弱性が発見された際には、常に大きな混乱が生じる。特に、それらの脆弱性がユーザーのプライバシーに影響したり、デバイスを応答不能にするなどのケースでは、なおさらである。その中で、メール管理アプリの脆弱性が特定のメールを送付するだけでアプリが応答しなくなるという深刻な影響を与えたのは、2015年初頭のことである。

2015年にはほかにも、Androidシステムに影響する脆弱性が発見された。その一つである「CVE-2015-3860」は、攻撃者がAndroidのロックスクリーンを回避して、端末を自由自在に利用できてしまうものだった。ただしこうした攻撃は、可能なことは証明されたものの、その欠陥はすぐに修正された。

一方、Samsungも自社デバイスの重大なセキュリティ欠陥を発見した。スマートフォンにインストールされているSwiftKeyのキーボードがアップデートを認証できなくなり、そのデバイスに対して不正ファイルを送り付ける「中間者攻撃」を受けかねない状況だった。6億人ものSamsung Galaxyスマートフォンが危険にさらされそうになったのである。

Androidプラットフォームで最も顕著にセキュリティの欠陥をあらわにしたのは「ステージフライト」(Stagefright)である。特定のテキストメッセージを送信するだけで、デバイスから情報が盗まれる恐れがあり、潜在的には9.5億人ものAndroidユーザーがこの脆弱性を攻撃され、一歩間違うと深刻な結果を引き起こしかねない状況だったため、この脆弱性が2015年で最も深刻なものと見なされた。

iOSデバイスについても各種セキュリティの欠陥が発見され、リスクにさらされた。2015年の中ごろには、ある研究論文が幾つかの脆弱性の存在を指摘し、それらの脆弱性を組み合わせるとマルウェアはさまざまなアプリ内に保存されている各種情報(iCloudのパスワード、認証トークン、Google Chromeに保存されているWebの認証情報など)に不正アクセスされてしまうと報告した。

また、「Airdrop機能」を利用して、本物のアプリのふりをしてマルウェアをインストールしてしまう脆弱性がiOSから発見された。この機能はiOS 7から新たに加わり、物理的に近接するデバイスに対しファイル共有を実現するが、脆弱性があることにより、攻撃者は、たとえユーザーが拒否してもファイルを送信できてしまうのである。

Appleがアプリに対するデータ・プライバシーに関するメカニズムを変更したのも2015年である。iPhoneのプライバシー機構を変更し、iOSアプリがデバイスにどのアプリがダウンロードされたかを、第三者が知ることができないようにした。これにより、広告主はそれらのアプリのデータにアクセスできなくなった。

モバイルマルウェアの変化

モバイルプラットフォーム向けのマルウェアの亜種が大幅に増加したのも2015年である。ユーザーにとって最大の衝撃だったのは、何百ものマルウェアが公式ストアで配布されていたことだった。

このことから、ユーザーの意識を高めることの重要性、そして、ユーザーがいかにして信用すべき開発者を識別するか、また、各アプリにどのパーミッションを設定するべきかについて啓発していくことが重要であることが分かる。

Androidの場合、30以上もの「スケアウェア」が公式ストアであるGoogle Play Storeからダウンロード可能となった。人気のあるMinecraft(ポケットエディション)ゲームの「チート」(不正動作を可能とする)アプリのふりをしているこれらのマルウェアは、60万以上のAndroidユーザーにインストールされた。

また、Google Play上の50万以上のAndroidユーザーを標的とした偽フィッシングアプリも登場し、これをインストールしてしまうとFacebookの認証情報が収集されてしまった。ESETはこれらのトロイの木馬を「フィーブミー」(Android/Spy.Feabme.A)と呼んでいる。

ESETでは、50を超えるトロイの木馬型の「ポーンクリッカー」(成人向けコンテンツを装ってクリックされる不正プログラム)アプリがダウンロード可能であることを確認した。そのうち4件については1万以上のインストールがなされ、さらにそのうちの1つは5万以上のインストールがなされた。

さらに、Google Play Storeで発見された別のマルウェアの例として、「マピン」(Android/Mapin)が挙げられる。これはバックドア型トロイの木馬であり、デバイスの制御を奪取した後、デバイスをボットネットの一部に組み込む。感染手法は幾つかあるが、トロイの木馬としての完全な機能を得るまでには、最低限3日を要する仕組みになっている。おそらくこの仕組みにより、このマルウェアは長い間Googleのマルウェア防止システムをすり抜けてきたと想像される。米国ソフトウェアベンダーのミックスランク(MIXRANK)社によると、ある亜種では「Plants vs. Zombies 2」というよく知られたゲームを装い、Google Play Storeから除去されるまでに1万回以上のダウンロードが行われた。

Android上ではランサムウェアの拡散が続いている。すでにESETはこの領域において、デバイスのPINを勝手に変更・無効化してしまう脅威を発見している。Android上で動作するこの種のコードはこれが最初であり、ESETは「ロッカーピン」(Android/Lockerpin)と呼んでいる。

このトロイの木馬は、アップデートパッチのインストールのふりをしてデバイスの管理者権限を奪取する。その後まもなくユーザーは、禁止されているポルノ素材を閲覧・保存したとして約5万円(500米ドル)の身代金支払いを要求される。実際にはPINはランダムに作成されており、攻撃者にすら送られることがないため、所有者も攻撃者もどちらもデバイスをアンロックできない。アンロックするには、工場出荷時の状態にリセットするしかない。

iOSについては、セキュリティの問題が確認された後、AppleがApp Storeからマルウェアに感染している300以上のアプリを削除せざるを得なくなった。「エックスコードゴースト」(XCodeGhost)として知られるこの攻撃は、多数のアプリに対し、しっかりとテストを通過して安全であるかのように見せかけるという、狡猾なマルウェアによって実施された。

これらのアプリはどのようにして公式ストアに入り込んだのだろうか。サイバー犯罪者は、iOS用のアプリを生成するのに利用される「エックスコード」(XCode)コンパイラに感染することを選択した。これにより開発者は、知らないうちに不正コードを自身のアプリの中に埋め込んでしまうが、正規の開発者の署名がなされているためApp Storeにも問題なくアップロードされたのである。

Appleにとって、このインシデントは大きな転機となった。これ以降Appleは、アプリがオンラインストアに公開される前に不正コードのチェックをしっかりと行うようになった。

その直後に専門家たちは、AppleのApp Storeのプライバシーポリシーに違反しているアプリがさらに256件あることを発見した。このポリシーでは、メールアドレスやインストールされているアプリ、シリアルナンバー、その他のユーザーを追跡するのに利用可能な個人情報を収集することを禁止している。これらのアプリはダウンロードしたと考えられる100万人のプライバシーを侵害している可能性があった。

マルウェアでは、ほかに、「ワイアイスペクター」(YiSpecter)にも注目したい。これは、iOSシステムのプライベート「API」(アプリケーションプログラムインターフェイス)を乱用して不正機能を展開する。注意すべきなのは、ジェイルブレイクされたiPhoneデバイスでなくても攻撃できてしまう点である。任意のiOSアプリのダウンロードやインストール、実行ができ、既存のアプリをダウンロードしたアプリと置き換えることさえ可能であった。

プラットフォームをまたいだ詐欺行為

その後、2016年には、大規模な不正行為がモバイルアプリを通じて行われた。その結果、被害者の個人情報を盗むことを目的にザラやスターバックス、マクドナルドなどの各種の有名な店舗ブランドのセキュリティが侵害された。

ソーシャルエンジニアリングは、コンピューターセキュリティの分野では、時に悪意ある人物が何らかの不正な目的のために人々を操る技術として定義されているが、サイバー詐欺の一手法としてしばしば用いられる。この手の不正行為は、なぜセキュリティ教育の実施がセキュリティ保護のための第一関門であるのかを物語っている。その意味では、WhatsAppなどのチャンネルを通じて従来からの技術を使って攻撃を行う手法について、特にユーザーに警告を発する必要がある。

留意すべきなのは、これらの不正サーバーが、位置情報の技術を用いてターゲットユーザーを被害者にするばかりか、この種の行為を実行するための共犯者とすることにより、効率的に広く拡散することを実現している点である。サーバーは、メッセージを受信した国やデバイスの種類に応じてトラフィックを不正ページに差し向ける。これは、プラットフォームをまたいだ脅威の新時代の到来を告げており、ユーザーの各種デバイスがセキュリティ侵害の標的とされる攻撃が今後展開されることを意味するのである。

将来の予測

これまで、モバイルデバイスのセキュリティを軽視する企業・組織や個人が存在してきたが、これは間違いであり、今後しっかりとした対応が必要である。モバイルコンピューティングが、何もないところにも危険が存在し、それどころか、毎日利用されているシステムに含まれる各種のセキュリティの構成要素に大きな影響を与え続けているということを理解するのは、非常に重要なことである。その意味で、個人用のモバイルデバイスを通じてセキュリティ侵害がなされる可能性を想定し、セキュリティ戦略を実装していくことは、必要不可欠となっている。

それに加え、IoTとモバイルOSの関係についても考える必要がある。というのも、モバイルOSは将来的にさまざまな機器を相互接続するのに必要なデータ構造がサポートされるプラットフォームとなり得るからである。「Android Auto」というアプリは、こうした今後のトレンドを指し示す興味深い例である。今日、ランサムウェアはデスクトップパソコン、ノートパソコン、タブレット、そしてスマートフォンを乗っ取るが、将来は、自動車のイグニッション・システムさえ乗っ取るのである。

デバイスの情報や操作を乗っ取るプログラムは、今後さらに増えることだろう。これは、サイバー犯罪者たちがモバイル端末の中に保存されている「獲物」を見いだしたためである。ほかの大もうけできるビジネス同様、時間の経過に従って成長することは避けられない。クラウドが各種プラットフォームを超えてユーザープロファイルを保存する場所として利用されるようになったため、これらのデバイスを用いたデータクラウドへのアクセスを拒否するような攻撃は非常に大きな影響を与えかねず、個人情報に対する潜在的な危険性が高まっている。

その場合、新たな拡散技術 (コンテンツを要求元のプラットフォームに特化して配信する不正サーバー)や、新たなプログラムの実行技術(さまざまな環境をサポートする実行可能形式のソフトウェアを生成するプラットフォームおよび言語の利用)を備えていることが想定される。

防衛手段を追求すればするほど、モバイルプラットフォーム向けのマルウェアを作成している側も、コードの分析をより困難にする新たな手法の開発を行う。不正コードのサンプルを分析するのが時間の経過とともにだんだんと困難になっていくのは避けられない。

ESETによれば、新たな脅威が生成される頻度は、Androidにおいては比較的安定していると見ており、2015年には月に平均200程度のマルウェアサンプルが登場している。これらのほぼ全てがトロイの木馬型のマルウェアである。2016年以降もこれらのマルウェアが攻撃に利用されると考えられるが、しかも技術はより高度化されるはずである。

2016年になって台頭した新たな脅威の中で、幾つかのもの、特に、SMS型トロイの木馬は、ほかのマルウェアと比べると実に顕著な増加を示した。

同様に、銀行やクレジットカードの認証情報やメッセージといった、デバイス上の個人データを盗み取ろうとする新たなモバイル版のスパイウェアも、多数発見された。

また、被害者が自身のモバイル端末を利用できなくなり、その回復のための身代金を要求するようなマルウェアも顕著に増加した。特にロッカーとロックスクリーンのファミリーは、亜種の数という観点で見ると、合計で前年比約6倍という成長を遂げた。

これらのトレンドは、2016年には、より顕著になる恐れがある。すなわち、デバイスの制御を奪取してユーザーの個人情報を盗み取るようなランサムウェアやリモートアクセスのトロイの木馬に頻繁に遭遇する可能性がある。

iOS向けのマルウェアの数は、Android向けのものより格段に少ないが、モバイル端末向けのマルウェア数の急増はiOSにも大きく影響することだろう。

iOS向けのマルウェアが増加していることに加え、スマートフォンを標的とした新種のスパイウェアの台頭も懸念される。製造元が用意した保護メカニズムが機能しているスマートフォン、すなわち不正改造されていない場合であっても、安心は禁物である。

最後に、強固なアプリを作るためには、脆弱性を生み出さないことに焦点を置いた安全な開発や設計が必要不可欠である。そのプロセスにおいてセキュリティは、発売後から考えられるものであってはならず、むしろ開発や設計の時点から中心に据えて考えられるべきである。同様に、潜在的な脆弱性を早期に検知するために、静的および動的なシステムテストを実施する手順を用意することも重要となってくるだろう。

この記事をシェア

スマートフォンのセキュリティ対策に

マルウェア情報局の
最新情報をチェック!