AndroidスマホはiPhoneよりもセキュリティ的に脆弱でウイルスに狙われやすい、というのは今も変わらない。デジタル技術が日常生活に浸透する中で、どのようなセキュリティ対策を講じるべきか。この記事では、Androidスマホのユーザー向けに、知っておきたいセキュリティリスク、そして必要な対策について解説する。
本記事は2019年11月7日に掲載した「Androidはウイルスに狙われやすい?必要なセキュリティ対策は?」に加筆修正をしたものです。
オープンソースのOSを採用しているAndroidスマホ
スマートフォン(以下、スマホ)はもはや現代に生きる人々にとって、日常生活を送るために欠かせない存在となりつつある。音楽や動画視聴といった趣味的な利用だけでなく、ネットバンキング、ECサイトでのショッピング、行政手続きに至るまで、生活の幅広い分野に浸透している。それだけに、手元から離れると、不便を感じるユーザーも少なくないかもしれない。
一方で、そうした状況をサイバー攻撃者は好機と捉えていることを、ユーザーとしては理解しておかねばならない。攻撃者はあらゆる手法を用いて、情報や金銭の収奪を試みようとする。現時点では振り込め詐欺的な手法の多くは電話でのアプローチが多いものの、今後は、スマホのSMSやSNSのDMなどを用いるようになっていくことも想像に難くない。
そうした状況を踏まえ、ユーザーとしてはスマホのセキュリティを強化する必要がある。中でも、iPhoneと比較すると安全性に劣るとされるAndroidスマホのユーザーであればなおさらだろう。AndroidスマホはAndroid OSと呼ばれるオープンソースのOSを利用することで、スマホベンダーは低価格の機種を販売することが可能となっている。しかし一方で、そうした特性が攻撃者から狙われやすい状況を生み出しているとも言える。
実際、Androidスマホを狙うマルウェアの脅威は高まっている。2023年5月に発覚した、「Guerrilla」と呼ばれるマルウェアが含まれるアプリをはじめ、マルウェアが仕込まれた状態で工場出荷されるAndroidスマホなどのデバイスが断続的に確認されている。このGuerrillaの場合、バックドアを設置して外部のC&Cサーバーと通信し、マルウェアをインストールする。そして、正規のアプリに不正な広告を表示させるといった挙動を引き起こすのだ。
なぜAndroidスマホは狙われるのか
以前よりiPhoneはセキュリティの堅牢性の高さが特長の1つとされてきた。App Storeにおける厳格な審査、サンドボックス内でアプリが動作すること、そしてOSのソースコードが非公開となっていることがその主な理由だ。厳格なセキュリティポリシーに基づいていることから、今後もこの状況は当面変わることはないだろう。
一方で、Android OSをめぐるセキュリティ事情も改善の取り組みが続けられている。Android OSを管轄するGoogleとしても、こうした状況を看過せず、Google Playにおける審査を厳格化するといった対策を講じているのだ。例えば、「Google Play プロテクト」はユーザーがアプリをインストールする際、そのアプリをチェックして安全性を検証するだけでなく、定期的にバックグラウンドでスキャンを行うことで不審な動きをチェックする。
また、現在ではAndroidスマホにおいてもアプリはサンドボックス内で動作することから、ほかのアプリにマルウェアが感染するといった事態はほぼ発生しないようになっている。そして、脆弱性が発覚次第、速やかに修正パッチを配布するといった体制も強化されており、以前ほどAndroidスマホが脆弱だとは言えなくなってきている。
しかし、先述のGuerrillaのようなマルウェアがアプリに潜伏するケースは後を絶たない。原因は特定されていないものの、アプリの開発環境において利用可能なオープンソースのコードにマルウェアが仕込まれるといったことが推測される。アプリの機能の一部にマルウェアが含まれるオープンソースのコードを組み込んでしまった場合、開発者自身も気づかないうちにマルウェアがアプリに仕込まれていることになるのだ。
こうしたアプリ開発の過程においてマルウェアを仕込み、アプリがユーザーの手元に配布された後に攻撃を行う手法をサプライチェーン攻撃と呼ぶ。Guerrillaの場合、主に低価格帯のスマホなどのデバイスに組み込まれていたが、ハイエンドと呼ばれる高価格帯のデバイスでは確認されていない。たまに高機能を謳いながら、驚くほど安い価格で販売されているデバイスがあるが、ユーザーの見えないところでこうした動きがあることも踏まえながら判断するのが賢明だろう。
iPhoneのセキュリティレベルに落とし穴は?
先述のように、堅牢さが売りの1つでもあるiPhone。昔ながらのコンピューターに詳しいユーザーであれば、Macを含めたアップル社の製品は総じてセキュリティレベルが高いという判断になりがちだ。現状を踏まえると、こうした見解の半分は正解だが、半分は間違いだと言える。
というのも、iPhoneとて完璧ではなく、これまでにもさまざまな脆弱性が生じてきた。また、ゼロデイ脆弱性が生じたことで被害が起こったケースもあった。特に、脱獄と呼ばれるようなカスタマイズをOSに施したデバイスでは、ゼロクリック攻撃といった手法のターゲットになるなど、iPhoneであってもセキュリティリスクは伴うのだ。
また、昨今の攻撃手法はWebブラウザーを経由するものも増えており、こうした場合だとOSの違いは関係ない。加えて、言葉巧みにユーザーを陥れようとするフィッシング詐欺も SMS、SNSのDMを用いるなど、OSを問わない手法が一般的になっており、逆にiPhoneだから安全だと信じ切ってしまうユーザーが狙われることもあるのだ。
デジタル技術の急速な発展により、IoT機器をはじめ、さまざまなデバイスが登場し、周辺のサービスも次々と立ち上がっている。こうした環境において、完全たる安全は保障されないことはiPhoneも例外ではない。そうした認識のもと、ユーザー自身がセキュリティの意識を高め、防犯のための対策を講じることが最も重要だと言える。
Androidスマホに必要な7つのセキュリティ対策
Androidスマホを利用していくにあたり、iPhone以上にセキュリティ対策が重要なことは先述した背景からも明らかだろう。しかし、それぞれの対策は決して難しいものではない。少しの意識と時間を向けることで対応は可能だ。以下に7つの対策を紹介していく。
1)OSやアプリのバージョンを最新に
Androidスマホに限らないが、基本的なセキュリティ対策としてまず行うべきは、OSやアプリを常に最新バージョンにアップデートしておくことだ。マルウェアはOSやアプリの脆弱性を突いて感染する。また、不正アクセスなども脆弱性を悪用する場合が少なくない。OSやアプリをアップデートし、脆弱性を解消しておくことでセキュリティリスクは低減する。
近年、「ゼロデイ攻撃」と呼ばれる攻撃手法が一般化している。ゼロデイ攻撃では、攻撃時点で未知の脆弱性を突くマルウェアを迅速に開発して拡散される。ゼロデイ脆弱性の情報を売買するためのダークウェブも存在するなど、脆弱性が残されている状況は攻撃者にとって好都合であることをユーザーとして認識しておきたい。
2)アプリのダウンロードは信用できる配布元から
Androidの場合、Google公式の「Google Playストア」以外の場所で配布されている、「野良アプリ」と呼ばれるアプリがダウンロードできてしまう。先述のように、Google Playでダウンロードしたアプリであってもマルウェアが潜伏している場合もあるが、それは極めて一部に限定される。Google Play以外でダウンロードする場合、配布元の信頼性を見極めてからダウンロードするようにしたい。
3)アプリのアクセス権限の設定は適切に
アプリから求められる権限を不用意に許可することは避けること。例えば、懐中電灯のアプリが個人情報へのアクセスを要求するような場合、絶対に許可しないことだ。そのためにも、インストール時にどういった権限を要求するのかは必ず確認し、必要のない権限を与えることがないようにしておきたい。
4)不用意なネットワークへの接続は控える
スマホのパケットを節約するためとして、外出時に近くにあるWi-Fiスポットに手あたり次第接続するユーザーもいるようだが、こうした行為は盗聴のリスクを伴うため、できれば避けるようにしたい。Wi-Fiへ接続する際には、その接続先のネットワークが暗号化されているか、暗号強度は「WPA2(AES)」、あるいは「WPA3」など安全性が高いものであるかを確認した上で接続すると良いだろう。
5)端末内のデータをバックアップ
近年、企業や組織を狙ったランサムウェア攻撃が国内でも相次いでいる。この攻撃では、初期段階でユーザーのパソコンやスマホの内部に侵入し、中のデータを不正に暗号化する。そして、その復号と引き換えに金銭(身代金)を要求するのだ。
こうした攻撃が今後、企業や組織以外に一般ユーザーを標的にする可能性もゼロではない。そのような攻撃に遭ってからでは後の祭りとなる。また、紛失時の落下で強い衝撃が加わり、動作不能になるようなケースもある。そうした場合であってもバックアップがあることで、データ消失によるダメージは最小限に抑えられる。
バックアップをしておくことと、ウイルスやマルウェアへの対策とは一見無関係に思えるかもしれない。しかし、一番重要なのはスマホ本体ではなく、その中で扱われているデータではないだろうか。もはや、スマホなしでは生活が成り立たないというほどそのインパクトは大きい。だからこそ、バックアップは重要な対策の1つと言えるのだ。
6)プライベート情報の扱いは適切に
スマホであらゆることができてしまう時代となり、ネットバンキングやショッピング、旅行の予約に加えて旅の記録を付けるなど、ユーザーそれぞれで多様な使い方をしていることだろう。加えて、SNSにおいてはタイムラインへの投稿をはじめ、DMで知人とのやり取りなどに使うケースも多い。こうした状況はすなわち、スマホはプライベートな情報の宝庫であるということだ。
だからこそ、攻撃者はプライベートな情報を入手するために個人のスマホを狙おうとする。スマホに不正に侵入され、中の情報を盗み出されないためにも、スマホ自体のロックは適切に設定しておきたい。また、SNSなどのアカウントにおいても、二段階認証をはじめ、セキュリティ設定を適切に行っておくことで、仮にスマホ自体を紛失した際にも対処が可能となる。
7)セキュリティソフトの導入
Androidスマホのユーザーで、あまりITに詳しくないユーザーにおすすめしたいのが、セキュリティソフトの導入だ。ウイルス対策機能をはじめ、総合的なセキュリティ対策がパッケージ化されていることから、インストールしておくことでスマホの安全性は高まる。
例えば、キヤノンMJが提供しているAndroid専用セキュリティソフト「ESET モバイル セキュリティ」は、ウイルスやランサムウェア、スパイウェアなどの感染から保護してくれるだけでなく、メールやWebサイトのリンク経由で詐欺サイト(フィッシングサイト)へアクセスすることもブロックする。さらに、アンチセフト(盗難対策)機能もあり、紛失や盗難にあったスマホの位置情報の確認やアクセス制御、リモートワイプ(データの遠隔消去)などが可能だ。
先述のように、スマホの利便性が増している分、攻撃を受けた際のリスクは高まっている。だからこそ、セキュリティ対策は万全にしておく必要があるのだ。ウイルス、マルウェア対策はもちろんのこと、スマホに関するセキュリティ対策全般を改めて見直しておくことで、安心・安全にスマホを利用してほしい。