Skip to content

セキュリティマガジン TREND PARK

ゼロから学ぶスマートフォンのセキュリティ
~企業導入に潜む落とし穴~

スマートフォンをビジネスに利用する企業で 求められるセキュリティ施策とは
iPhoneやAndroid™端末にもPCと同じレベルの対策が不可欠に


トレンドマイクロは2011年4月15日、東京本社でスマートフォンのセキュリティセミナーを開催しました。本セミナーでは、iPhoneやAndroid端末をターゲットとする脅威の傾向や、実際に発見された不正プログラムの挙動をデモで紹介。企業がスマートフォンを導入する際に考慮するポイントや必要とされるセキュリティ技術について解説しました。

クラウドの進展でスマートフォンの企業導入が本格化

iPhoneやAndroid端末を中心としたスマートフォンがビジネスシーンへ浸透し始めました。調査会社のMM総研は、2015年に携帯電話総出荷台数の63.1%をスマートフォンが占めると予測しています(※1)。セミナーに登壇した事業開発部 部長 斧江 章一は、「クラウドサービスの拡大に伴い、企業ではスマートフォンやタブレット端末などのモバイルデバイスを使って電子メールを送受信し、スケジュールも管理するようになりました。中長期的にはスマートフォンから基幹システムにアクセスすることが常態化するでしょう。こうした中、ターゲット攻撃やシーケンシャル攻撃などといったPCを対象としてきた手法と同様の攻撃でスマートフォンが狙われるケースは今後ますます増加すると予想されます」と警告します。

1.5秒に1つ(※2)の不正プログラムが生み出されている現在、その約92%がインターネットを経由したWebからの脅威(※3)。この中でフルブラウザを搭載するスマートフォンにもPCと同等のセキュリティ対策が求められます。では、スマートフォンはどのようなセキュリティ特性を備えているのでしょうか。ほとんどのスマートフォンはサンドボックス技術により特定の保護された領域内でアプリケーションを実行する仕様です。そのため、Windows® PCに比べるとアプリケーションやOSの脆弱性が攻撃対象として狙われる傾向が強くなると考えられます。また、リッチコンテンツに対応するスマートフォンは、従来型のフィーチャーフォンに比べて搭載ブラウザも高機能かつ複雑なため、脆弱性の含まれる可能性も高いと言えます。

iPhone、Android端末の脅威


トレンドマイクロ株式会社
事業開発部 部長
斧江 章一

こうした特性を踏まえ、斧江はスマートフォンの中でも主流になっているiPhoneとAndroid端末をターゲットとする脅威の動向について説明しました。まずiPhoneでは2010年に、WebブラウザやCompact Font Format、Paypalアプリケーションの脆弱性が発見されました。とはいえ、iPhoneは製造元のアップル社の審査をクリアしたアプリケーションだけをApp Store経由でインストールできるクローズドな仕組みです。このため、不正アプリケーションをインストールすることによる感染の危険性は少ないと言えます。ただし、iPhoneではJailbreakと呼ばれる手法によってユーザがルート権限を取得することが可能です。これを実行するとApp Store以外の非公式サイトからアプリーションをインストールできるようになるため、感染の危険性が高まります。斧江は、「一般ユーザには不要と感じられるJailbreakが、iPhoneを導入した企業で必要になることもあります。というのも、企業が独自に開発した各種基幹系アプリケーションをiPhoneで動作させるためにJailbreakを実行するケースがあるためです」と話します。

一方、Android端末でもAdobe® Flash® PlayerやWebブラウザの脆弱性が発見されました。Android端末ではOSのバージョンや機能の異なる多種多様なデバイスが存在するため、単一の脆弱性を突いた不正プログラムが悪影響を与える範囲はiPhoneと比較して狭い傾向があります。ただし、App Storeとは異なり、アプリケーションソフトの登録を自由化しているAndroidのマーケットプレイスでは不正アプリケーションをインストールしてしまう可能性を高めてしまうのが実情です。斧江は、「Googleでは最新のOSに存在する脆弱性にのみ対応することを表明しています。とはいえ、各端末メーカーによる検証およびアップデート作業は避けられないため、脆弱性を修正するまでに時間を要する点はAndroid端末の課題でしょう」と指摘しました。

記事公開日 : 2011.04.28

ページの先頭へ