Skip to content

セキュリティマガジン TREND PARK

スマートデバイス脅威の最新動向
~ビジネス活用に向けたセキュリティ対策とは


本対談は、「KDDI Smart Mobile Safety Manager」サービスをはじめ、スマートデバイスのセキュリティにも積極的な取り組みを推進されているKDDI株式会社のクラウドサービス企画開発部 MDMサービス企画のリーダーである川本孝明氏とトレンドマイクロ株式会社の執行役員・統合政策担当部長である小屋晋吾が、最新のスマートデバイスの脅威動向や、企業がスマートデバイスをビジネスに活用するために必要となるセキュリティ対策への対応について議論させていただいた内容を掲載します。

川本氏スマートデバイスのビジネスへの利用には脅威を理解した上でセキュリティ対策を実施しなければなりませんが、トレンドマイクロから発表された「モバイル端末を狙った不正アプリ及び高リスクアプリが200万を突破」という記事を拝見し、スマートデバイスも攻撃の対象としてリスクが増加していると感じています。最近のスマートデバイスにおける攻撃の状況はいかがでしょうか。

小屋その記事は、2014年3月時点のものですね。同年9月には(PDF:4.8MB)、Android向けの不正アプリや高リスクアプリの検出数が350万となるなど急増しており、今後も継続して数値は伸びていくと考えられます。
スマートデバイス内のアドレス帳データなどに、機密情報を不正に窃取する機能を追加してリパックするパッケージ等も無償で配布されているため、不正な機能入りのアプリ作成が容易に可能となるわけです。ツール形態で配布されているため、多少のIT知識があれば誰でも作れる状況にあります。

川本氏Webで検索すれば、簡単に不正アプリを作成するためのパッケージを見つけることが出来、使い方さえわかれば誰でも不正アプリが作成可能なのですね。これならハッカーになりたいと思ったら簡単になれますね。

小屋そうですね。AndroidはLinux系ツールになるので、正規アプリのリバースエンジニアリングが比較的容易に可能です。不正機能もモジュールで提供されるので、後はツールで不正モジュールを組み込んでしまうだけで、正規アプリを簡単に不正アプリにすることができます。不正アプリを配布するとなったら偽ダウンロードサイトを作るなり、強制的にユーザへメールなどで送りつけるなど、それほど難しい事ではありません。従ってAndroidに関しては、不正アプリがまだまだ増えていくでしょう。

川本氏Androidに比べて安全といわれているiOSへの脅威はいかがでしょうか?

小屋iOSは、OSの作りからしてもアプリケーションをダウンロードしてから使うユーザーサイクルからしても、比較的堅牢でした。しかしいつまでも安全というのはIT機器においてはありえないですね。また、アプリだけでなくウェブサイトを閲覧するソフトウェアが不正なサーバに誘導されてしまい、そこからデータを入力してしまうのであれば、AndroidもiOSも変わらないですからね。

川本氏確かに、ウェブサイトに関しても不正サイトへ誘導されてユーザIDや機密情報を窃取されるなどの脅威がありますね。

小屋iOSは、基本的にはApp Storeからしかダウンロードしないが、法人の場合は自社用に開発したアプリをApp Storeとは別に配布可能な「iOS Developer Enterprise Program」がありますよね。その機能を利用して、他の場所から操作するという攻撃も出ている。この攻撃手法から企業が独自開発したアプリを狙った場合には不正アプリとしてデバイスに配布することは不可能ではないですね。

川本氏Android、iOSへの脅威について、よく理解できました。実際にスマートデバイスに入っているアドレス帳などの個人情報や企業のリソースを利用するためのID/パスワードなどの機密情報がハッカーなど第三者に窃取されたなどの被害報告はあるのでしょうか。

小屋はっきりそういった事故が起きたと宣言している企業は無いが、おそらく起きているということは想定できるんですね。現時点では、ログの残り方もPCとは異なるため、データを抜かれたかどうかがわかりにくいという現状がある。
またログを取得していても、攻撃者は攻撃に関連するログだけを消してしまうため、後からログを調査しても発見することができない場合があります。

川本氏なるほど、スマートデバイスにおけるロギング方法は課題ですね。現状のスマートデバイスの脅威は、不正アプリやウェブサイトを通じた脅威が中心ですが、他に対策が必要な脅威はありますか?

小屋当社調べのデータでは、モバイル端末の4%程度は「紛失する」など物理的な脅威があるとのデータがあります(※1)。端末自体のセキュリティ対応、無くした後に必要な対処が出来ているのか等、設置型のPCとはまた違う対策する必要があります。

記事公開日 : 2015.02.18

ページの先頭へ