Skip to content

セキュリティマガジン TREND PARK

ゼロから学ぶスマートフォンのセキュリティ
~企業導入に潜む落とし穴~

スマートフォンをビジネスに利用する企業で 求められるセキュリティ施策とは
iPhoneやAndroid™端末にもPCと同じレベルの対策が不可欠に


その後、Android端末の脆弱性を狙う具体的な不正プログラムを紹介。2010年12月に発見された世界初のAndroidボットであるANDROIDOS_GEINIMI.A(以下、GEINIMI)に感染した端末が遠隔から不正なコマンドを受け取って操作されてしまうプロセスをデモで説明しました。具体的に、GEINIMIは非公式なアプリケーション配布サイトから正規のアプリケーションに混入した形で配布されます。アプリケーションの起動をトリガーとし、その5分後にコマンド&コントロールサーバへ接続。以後5分おきにHTTP経由で受け取る不正コマンドによって遠隔操作します。デモ画面では暗号化されたパケットを解析し、特定の番号に電話をかけるコマンドが感染した端末に送信されていることも確認しました。

Androidボット「ANDROIDOS_GEINIMI.A」動作イメージ

不正Market PlaceからANDROIDOS_GEINIMI.Aに感染したアプリケーションをダウンロードさせ、感染したAndroid端末内で、各種コマンドを実行する。そしてダイアルイン番号やIMEIといった情報を暗号化し、5分ごとに悪意のあるユーザーサイトへコマンドの確認と結果を送付する。

セキュリティリテラシーを維持・向上する教育もポイントに

セミナーの後半では、企業がスマートフォンを導入する際に求められる対策やトレンドマイクロが提供するセキュリティ製品について紹介しました。企業はスマートフォンを運用する中では、「セキュリティポリシーを徹底すること」「端末を統合管理すること」「監査証跡としてログを管理すること」といった大きく3つのポイントが不可欠です。斧江は、「PCやサーバだけでなく、スマートフォンの運用も想定したシステム環境に合わせて適切なセキュリティポリシーを適用する必要があります。また、各端末にインストールされているアプリケーションを一元管理するとともに、コンプライアンスの観点からセキュリティインシデントが発生した際の証跡としてログを管理できる環境も必須でしょう。導入時や導入後には、フルブラウザを搭載する高性能なスマートフォンにPCと同等の危険が伴うことを意識づけるなどの教育や啓発活動を通じ、社員のセキュリティリテラシーを維持・向上することも求められます」と語ります。

最後に、斧江は、「スマートフォンのへ脅威は、不正アプリケーション、フィッシング詐欺サイトなどの不正Webサイト、不正侵入、スパムメール、盗難・紛失による情報漏洩の5つに大別されます」と指摘。ウイルス対策、Webレピュテーション/URLフィルタリング、ファイアウォール、スパムメール対策、リモートロック/リモートワイプといったモジュールを提供するトレンドマイクロの技術により、これら5つの脅威に対抗できることを強調しました。Webレピュテーションを利用したツールとしては、iPhone向けのセキュアブラウザ「Smart Surfing for iPhone and iPod touch」を展開。無償で提供される同ツールは、3段階でセキュリティレベルを設定し、危険な不正Webサイトへのアクセスを未然にブロックします。また、米国では既にAndroid端末を含めたスマートフォン向けのセキュリティ製品として「Trend Micro Mobile Security」を展開。日本では、Microsoft Windows Mobile®だけでなく、Android OSやiOSを搭載したスマートフォンにも順次対応していく計画です。

商標について

※1 MM総研「スマートフォンの市場規模の推移・予測」(2010年12月)
※2 2009年AV-Test提供データを基にトレンドマイクロ算出
※3 2009年トレンドマイクロ調べ

モバイル 記事一覧へ戻る

記事公開日 : 2011.04.28

ページの先頭へ