わずかな期間で世界的に普及した「スマホ」の便利さには誰もが恩恵を受けていることだろう。しかし一方で、マルウェア被害については、今なおパソコン特有の問題と見なす人が多い。わずか十数年ほどしかたっていないが、すでにスマホのマルウェアは進化を遂げ、凶悪化している。
この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。
もしデジタル時代の精神を体現するデバイスを1つ選ぶとすれば、それはスマートフォンになるだろう。今日「スマホ」は、生活に密接に関わっていて、ある調べによれば、人々は平均して日に85回、自分のスマホをチェックしているようだ。
これは非常に高い数字のように見える。しかし生活の中で、スマホがいかにさまざまな場面で使われるか考えてもみてほしい。友人や家族と連絡を取り合い、写真を見たりシェアしたりし、オンラインバンキングで金銭の管理を行い、自分の活動をソーシャルメディアにアップする、等。実にいろいろな場面で利用されていることに気付けば、この数字は多すぎるとは言えないだろう。
利用頻度がこれほど高いという事実とは裏腹に、スマホの中には個人情報や機密情報など、サイバー犯罪者が見逃しはしないような貴重なデータが非常に多く収められており、スマホはそうした情報へアクセスする窓口となっている。これは疑いようのない事実であり、言うまでもなく、サイバー犯罪者たちはマルウェアを使ってデータを抜き出し金銭を得るべく、長年にわたって活動してきた場から新たな場を切り開いており、当然のようにスマホが今狙われるに至っているのだ。
モバイル向けマルウェアとは何か、それは何をするのか
最初のモバイル向けマルウェアは「キャビア」(Cabir)と名付けられ、2004年に出現した。主にノキア社で使用されているSymbian OSを標的にしており、Bluetooth経由で拡散された。このワームは当初は実験段階の実証として攻撃者から送り出されたのだが、より悪意ある目的にかなうようすぐに改造された。
その後の12年間で、モバイル向けマルウェアは多様化した。また、理由はいろいろと挙げられるが、あらゆる意味でより洗練され、より破壊的になってきた。スパイウェアはひそかに情報を集め、それを第三者に引き渡している。トロイの木馬は正規のプログラムに相乗りして、結果、問題を引き起こしている。フィッシングアプリは詐欺師に利用されている。そしてボットは暗闇で待ち伏せし、ユーザーがオンラインバンキングのアカウントにアクセスするときを見計らって攻撃を仕掛けようと辛抱強く待っているのである。
データ窃盗を目的とする最初のマルウェアは2005年に登場した。そして「WAP」(ワイヤレスアプリケーションプロトコル)(*1)の技術を用いた「携帯電話」からより複雑で「より賢いスマートフォン」に移行したとき、それまでデスクトップコンピューターに限定されていたマルウェアの能力もまた歩調を合わせて進化し、活動の場を広げた。
*1 編集部注 携帯電話でインターネットのコンテンツ表示ができるようにするプロトコル。
機密の個人情報
2011年にはモバイル向けマルウェアの爆発的流行が起こった。突如として多くの人がスマホを所有し始め、凶悪なプログラムが毎週、研究所に報告された。人々がアプリをダウンロードすればするほど、不正なプログラムはスマホに入り込むことになった。
そして今、事態はどのように進展しているのだろうか。実のところApple社のiOSからWindows、Blackberryに至るまで、どのモバイルもマルウェアに対して免疫を持っているわけではないのが現状である。
「近年、モバイル向けマルウェアは非常に大きな問題となっています」とESETのマルウェア研究員ルーカス・ステファンコ(Lukas Stefanko)は述べている。「ユーザーはスマートフォンに以前より多くの個人の機密情報を保存しています。そこにはテキストメッセージ、連絡先、写真、メールなどさまざまなものがあります。加えて、ユーザーはFacebookやTwitterのようなソーシャルネットワークから発せられる、ソーシャルエンジニアリングを駆使した攻撃に常にさらされる危険があり、以前のようにSNSがなかった時代と比べ、より脆弱になっていると言えます」と語る。
以下、これまでに登場したモバイル向けマルウェアの中でも、よく知られているものを幾つか取り上げ、その概要を示す(マルウェア名の後の年数は出現した年を表す)。
キャビア(Cabir) 2004年
モバイル向けマルウェアの先駆けと位置付けられるものの、それほど凶悪ではない。第1段階でスマホが感染するのは極めて難しい。このワームはBluetooth経由で送られ、ユーザーがダウンロードに同意することで侵入が行われる。感染すると、スイッチを入れるたびに「Caribe」というメッセージが表示される。この感染したスマホが他のスマホを探す際、もしBluetoothが有効になっていれば、その探り当てたスマホにワームが転送される。しばらくして感染は広がっていく。「29A」と自称する国際的な攻撃者グループに開発されたとみられている。
コム・ウォーリア(CommWarrior) 2005年
「コム・ウォーリア」は侵入したとき、Bluetoothを使って伝搬経路を拡張する。感染したMMS(マルチメディア・メッセージ・サービス)のメッセージをスマホのアドレス帳に載っている連絡先に送り付けるのである。いったんメッセージが開けられると、このワームは他のスマホ上に自分をインストールしようとする。この手法は効果的で、テキストメッセージの受け手はそのメッセージが自分の電話帳にある相手の一人からのものだと思い込み、それをダウンロードしてしまう。また第二の感染の手段もある。MMSがワームをインストールした後、感染したスマホはこのウイルスを近くにいるBluetoothが使える状態の他のデバイスに送り付けるのだ。
レッド・ブラウザー(RedBroswer) 2006年
複数のプラットフォームに感染させることができる初めてのトロイの木馬である。NokiaやSiemens、Samsungといった「Java 2マイクロエディション」をサポートしているデバイス上で作動し、自分がWAP用のブラウザーであると主張するようなメッセージを送る。このブラウザーを用いればユーザーはWAPのページのコンテンツを無料のSMSを経由して閲覧することができるというものだ。しかし、それが実際に行っていることはSMSメッセージをプレミアムレートの海外の電話番号に向けて送ることで、その結果、ユーザーは金銭的な損失を被ってしまうのである。そしてサイバー犯罪者に定期的に流入する利益をもたらすことになる。
フレクシ・スパイ(FlexiSpy) 2007年
「フレクシ・スパイ」はスパイウェアの最も原初形態の一種である。まずトロイの木馬がユーザーに見えないところで通話とメッセージをモニターする。その結果、感染したデバイスの活動の全てを抜き取ろうとする。そして音声データを録音し、SMSの情報や電話帳を収集し、それらを遠隔地のサーバーに転送する。通常マルウェアはサイバー犯罪とは無縁の人が運悪く引っ掛かってしまうものだが、もっとたちの悪いことに配偶者をスパイしたい人が利用するのにうってつけの手段としていまだうわさされている。
インフォ・ジャック(InfoJack) 2008年
Windows Mobileを感染させるトロイの木馬である。デバイスがインターネットに接続したとき、デバイスからホームサーバーへと情報を漏らしてしまう。またユーザーの秘密裏に他のアプリをダウンロードし、インストールすることもできる。さらには、デバイスのセキュティの設定をひそかに変えて、セキュリティ警告一切なしに他のアプリをインストールすることを許可してしまう。このマルウェアは自身を検知から守るようにコピーして、クリーンアップの努力を台無してしまう。
イケエ(ikee) 2009年
「イケエ」は、スウェーデンの有名な組み立て家具のブランド名の綴り間違いのように見えるが、OpenSSHを持つ「脱獄」状態のApple社のデバイス同士のやりとりの中で流通するiOSに潜入するワームであった。ユーザーはもしデフォルトのパスワード(「alpine」*2)をあえて変える手間を惜しんでしまうと、ワームに感染しやすくなってしまう。感染したデバイスは壁紙をマルウェアの作者の写真か「Never Gonna Give You Up」という楽曲を歌う歌手、リック・アストリー(Rick Astley)のにぎやかな写真に代えられてしまう。
*2 編集部注 フリーウェアのメールソフトの名前。Alternatively Licensed Program for Internet News and Emailの略。
ジットモ(Zitmo) 2010年
これはPC環境からモバイル環境に引っ越した危険なマルウェアの一例である。デスクトップPC上にいたときは「ゼウス」(Zeus)と呼ばれ、何千ものオンラインバンキングの利用者から強奪を働くという不正行為を行っている。トロイの木馬「ジットモ」あるいは「モバイル版ゼウス」(Zeus-in-the-mobile)は取引認証番号を盗み出し、インターネットバンキングを標的とする。このマルウェアはAndroid、Blackberry、Windows Mobile、Symbianといった複数のプラットフォーム上で発見されている。そのモバイル版は広くヨーロッパ諸国を標的としているとみられている。
ドロイド・ドリーム(DroidDream) 2011年
Google Playは不正な機能を備えたアプリの問題に悩まされている。その機能は公式のPlayストア上の50を超えるアプリに含まれており、何千件ものダウンロードがなされているものだ。トロイの木馬(=ドロイド・ドリーム)の主な機能は単純なものだ。機密情報を遠隔地のサーバーに送り、感染したデバイスに他のアプリをひそかにインストールするのである。2011年にGoogleはドロイド・ドリームに感染していた50のアプリをPlayストアから抹消した。
ボクサー(Boxer) 2012年
これもSMSを使ってAndroidに入り込むトロイの木馬である。当時、「ボクサー」は感染したデバイスから電気通信事業者を識別するコード「MCC」(Mobile Country Code)と端末設備を識別するためのコード「MNC」(Mobile Network Code)を読み取り、63のさまざまな国を標的としていると報告された。メッセージを通じて拡散され、いったんユーザーがアプリケーションをダウンロードすることに同意すると、それとは別のアプリケーションを自動的にインストールする。そして、一度自身を伝搬するSMSを送ると、高額のレートを設定されたプレミアムナンバー(=ダイヤルQ2のようなサービス)にメッセージを送るように改変されたアプリケーションをダウンロードする。
フェイク・ディフェンダー(FakeDefender) 2013年
「フェイク・ディフェンダー」はおそらくAndroidを狙ったランサムウェアの最初の事例である。典型的な偽ウイルス対策アプリでもあり、偽のセキュリティ警告の情報を表示して、モバイルのユーザーに存在しもしない、あるいは作動することのないウイルス対策アプリを買わせようとする。いったんインストールされると「OZ」という文字の向こう側から動物がこちらをのぞき込んでいるアイコンが示される。そのアイコンの下には「Android Defender」の文字が表示されているのである。
シンプロッカー(Simplocker) 2014年
さらに進んで、モバイル版のマルウェアとPC環境での併存が「シンプロッカー」においては見られる。これはAndroid向けランサムウェアの作品で、デバイスのSDカードをスキャンして、決まった種類のファイルを探し出しそれを暗号化する。シンプロッカーはAndroid OSに狙いを定めている「ファイルコーダー」ファミリーの最初のマルウェアである。「.jpeg」や「.mp4」「.png」といった共通の拡張子でファイルを改悪する。
ガゾン(Gazon) 2015年
「ガゾン」は短縮URLを含むテキストメッセージを送ってくる。そのURLは悪意あるページにリンクするものだ。運の悪い受信者はAmazonギフトカード約2万円(200ドル)分をプレゼントするというフィッシングテキストを受け取る。このユーザーが一度アプリをダウンロードしインストールすると、ユーザーの全ての連絡先に転送され、頼みもしない広告を表示する。巧妙にも、一連の詐欺サイトと他のスパムへのリンクを含んでいる。経済的なインセンティブがあり、かつ、人気のショッピングサイトであるAmazonを悪用しているため、何千ものユーザーが犠牲者となっている。
SMSシーフ (SMS Thief) 2016年
このアプリは端的にその名(thief=窃盗)が示す通りのことを行う。保管されたテキストメッセージを盗む不正なアプリの一族で、アンインストールするのが厄介である。ユーザーの目からほぼ逃れて、ユーザーがテキストを作成したり電話をかけたりするそのバックグラウンドで動作する。そうしながら、通話の全てのメッセージをひそかに傍受し、コピーして転送する。個人情報を公共の場に上げてしまうこともあり、詐欺師の間では人気が高い。しかも、被害者にとってさらに不幸なことに、SMSを特別に高額なプレミアムレートの電話番号に送るため、被害者は高額の支払いを強いられるのである。