Android OSから見たセキュリティ対策ソフトの制約：萩原栄幸が斬る！ IT時事刻々（2/2 ページ）

[萩原栄幸，ITmedia]

大流行のAndroid向けウイルス対策ソフトは有効なのか？

　ここまでの話の流れでは、「危険なので、できれば対策メーカーの有料ソフトを、最低でも無料ソフトをインストールしましょう」となるが、そう簡単ではない。Android向けの対策ソフトを調べてみると、何と検知できないケースが、数多く存在することが分かったのである。

　2011年10月25日に情報処理推進機構（IPA）から「スマートフォンのセキュリティ＜危険回避＞>対策のしおり」なるものが発表された（PDF資料）。その中に「セキュリティソフトを利用する」とある。この記載には、「パソコンで培った技術を利用して、スマートフォンでも高度な対策ができるようです」とある。

　ウイルス対策ソフトの意義を否定するつもりはない、何もないよりはあった方がいい。しかし、その有効性をきちんと確認しているのか、はなはだ疑問を感じざるを得ないのである。PCとスマートフォン（調査したのはAndroidだけだが）は、良く似ているがやはり多くの部分で違う。ここからはその事実を紹介したい。

Androidの実行権限について

　なるべく平易に説明するなら、Androidの実行権限には3種類ある。

1. 一般権限……アプリケーション開発者が自己署名してMarketプレイスを通じて（一部不法Marketもあるようだが）配布されるアプリケーション。「Dalvik」サンドボックス内で動作し、利用者承認のパーミッションの機能を持つ。保存先は「/data/app」「/data/app-private」「SDカード」の3つ
2. システム権限（管理者権限と混同されがちだが異なる）……「/system」ディレクトリ配下にインストールされたアプリケーション、もしくは「SharedUserID='android.uid.system’」が設定されたアプリケーションに与えられる権限。Androidが持つ特別な操作を実現できるSignatureOrSystemパーミッションを利用できる
3. 管理者権限……Androidの領域外でLinuxのroot権限が割り当てられたものでLinuxコマンドを利用できる。

　これらの権限区分において「ウイルス対策ソフト」（正確にはマルウェア対策ソフト）がどこで動作しているかというと、調査した全てのソフトが「一般権限」であった。世界中の全てのソフトで調査をしたものではないが、有名なものは調べている。ここから、以下のような疑問を生じてしまうのである。

マルウェア対策ソフトの限界

　1.前述の一般権限での保存先の1つにある「/data/app-private」内は、一般権限ではコード自体をスキャンできない。スキャンできるのは「/data/app」もしくは「SDカード」だけである。それではこの領域（/data/app-private）への書き込みはどうすればいいか。この領域のアプリケーションを専門用語で「フォワードロックアプリ」というが、一番簡単な方法はAndroid Marketに投稿するときに「著作権管理フラグ」をオンにすればいい。これだけでコード検証型のスキャン対象から外れてしまうのである。

　2.一般権限でマルウェアを駆除しようとするなら、PackageManagerにアンインストールを依頼して、利用者による手動操作を待つことになる。マルウェアがインストールされただけではまだ攻撃は行われない。起動して初めて攻撃が行われ、さまざまな影響を及ぼす結果をもたらす。だが、Androidにはアプリを自動起動させる仕組みが豊富にある。例えば「端末の起動」「SMS受信」「電話発呼」などである。実験ではインストールしてから自動起動されるまで約1秒のものも見つかった。この間に利用者は画面でアプリの削除要求をしなければいけない。実際に1秒以内でのユーザー操作は不可能であり、被害に遭ってからの事後の駆除となり意味がなくなる。

　3.一般権限ではメモリダンプやリアルタイムでの通信モニタも使えず、他のアプリケーションの挙動を監視することは不可能だ。例えば、一般のWebブラウザを使った悪性Webサイトへの接続制限では、接続した後で悪性URLの場合にはWebブラウザを停止させる。これは、Logcatログを監視してアクセス履歴をチェックしているだけなので、実際問題としては接続して事件が発生してから停止させるため、その時は既に“後の祭り”なのである。

　またインストールでのスキャンはその仕組み上、ウイルス対策ソフトはインストールが完了したブロードキャストを拾って検査するので、その時は既に「/data/app」やSDカードに展開済み。もし「/system/app」にインストールされてしまった場合には、一般権限では駆除できなくなる。そこからスキャンして何か意味があるのだろうか（もちろん、「/data」以下にインストールされたアプリが、継続的な情報漏えいや外部攻撃を行うものであれば、手動による駆除も意義は大きい）。

　なお、アプリがインストールされる先のほとんどは、「/data」配下であることを述べておく。ここにインストールされるアプリは、アンインストール操作により、クリーンに駆除できる。PCの場合には、感染による影響が残ってしまうことが多いのに対して、Androidの安全機構の一つであると言える。

かなり堅牢な“スッピン”のAndroid

　Android自体は実は堅牢な仕組みである。その理由は、自動感染型ウイルスが存在しない。

　スマートフォンを狙う不正プログラムやマルウェアが急増しているといわれており、これ自体は確かだが、絶対数からみると、マルウェアの数はPCに比べると極めて少ない。著者が独自で入手した情報は、10月時点ではその比率は「1600（PC）：1（スマートフォン）」だった。これには調査対象に亜種が含まれていない。亜種を含むと、その差は「約42000：1」となる。このように情報源によって数字が相当に異なるほど、スマートフォンのマルウェアの数は少ないということだ（けたが違いすぎるのである）。

　全体的な傾向としては、スマートフォンはPCに近づいているが、まだまだスマートフォンのマルウェアに遭遇したユーザーは希少な存在である。実際にKDDI研究所が、会社や個人でスマートフォンのマルウェアに遭遇して、実際に被害を受けたかの問いかけでは実被害を訴えたユーザーはいなかった。今後はさらにその差は縮小するだろうが、PCと肩を並べるにはもう少し時間がかかりそうだと筆者は感じている。

　現実にAndroid Marketにマルウェアが掲載されることはほとんどなく、通信事業者の独自のMarketでも同様だ。それよりは、グレーなアプリケーション（見解の相違はあるが、例えば端末改造ツールやシャッター音の無いカメラなど）は今後も増加すると思われる。

　セキュリティがほとんど考慮されないようなMarketプレイスでの感染事例が増加する可能性がある。Android向けウイルス対策ソフトにPCと同じレベルの防御力を期待している一部のユーザーが、対策ソフトをインストールすることで、逆に「危険なMarketプレイスに行っても安全」と思い込む場合を懸念している。本記事はこのユーザーへの注意喚起を主な目的にしている。

マルウェア対策ソフトの意義をどう考える？

　Androidのマルウェア対策ソフトに文字通りの機能を期待しても、それは“ないものねだり”となる。ただし保険として（偽対策ソフトを除けば）考えればないよりはいい。PCと違い、機能に限界があると理解した上で利用すべきだろう。過去に出現した手動起動型、もしくは時間をかけて自動起動するマルウェアには有効といった程度だと割り切るべきだ。筆者としては今より優秀な製品が登場することを期待したい。

　特に有料ソフトであれば、ウイルス対策以外にもさまざまな機能を数多く搭載しているので、そちらを期待しての購入ならユーザーも納得できるだろう。「リモートロック」「リモート消去」「ログ管理」「盗難対策」「バックアップ機能」「データリカバリ対策」など、メーカーによって呼び方も機能も多種多様だ。

　以上の点を踏まえてユーザーに知ってほしいのは、ウイルス対策ソフトの現状は“ないよりはまし”程度であるということ。それよりも、世間で評判になっている一部の悪質Marketは、セキュリティ管理がほとんどされていないので、絶対にアクセスしないことの方が遥かに有効な安全対策となる。また、「メールの添付ファイルに用心する」「怪しいサイトには行かない」といったPCでは常識の、危険だと思われる行為をスマートフォンでもしないことが重要である。スマートフォンを有効に利用していくという前向きの姿勢でぜひセキュリティ対策を心がけてほしい。

　日本スマートフォンセキュリティフォーラム（JSSEC）でも「スマートフォン＆タブレットの業務利用に関するセキュリティガイドライン」を提供している。手前みそで申し訳ないが、無料なのでぜひこのガイドも併せて活用していただきたい。

　対策ソフトメーカーに対しては、「できること」「できないこと」をより明確に表現（技術者が不勉強な場合もあるが）していただきたい。一部製品の宣伝では「誇大広告ではないか？」と思われるケースも見受けられる。

問題は山積み

　Androidには、本稿で取り上げたウイルス対策ソフト以外にも検討課題が多い。無線LANやWi-Fiにおけるセキュリティ問題もあるが、筆者が非常に懸念しているのが「著作権管理」である。例えば、先日のJSSECの発表の場でSony Ericssonの方（米国在住）が「ゲームでテトリスを検索すると3000種類以上ものゲームが見つかる」と話しており、この中で「正規の著作権を保持したテトリスはどれか？」と問いに、筆者はまったく分からなかった。ほとんどが、本家のソースをコピーしたのではと疑われるものや、そっくりな機能を持ったアプリが無料ゲームとして提供されている。「いったい本家のアプリはどれ？」という状況で、これは有名なゲームに限った話ではない。

　Androidの世界では、制作者自身が何カ月も苦心して作成したゲームや優良ツールが簡単に盗まれ、別名でMarketに出されるケースも多いと聞く。この現状をどう改善すべきなのか。そもそも本当にあなたが「正規の制作者」だと、どのように主張すればよいのか――デジタル認証といった技術論もさることながら、商流や物流、そして情流を鑑みるとまだまだ問題が山積されているのである。以前にも本コーナーで記したが、ソフトの購入とはモノを購入することではなく、使用する権利を購入するという事をどうやったら実効力のあるものにできるのだろうか。まだまだ道は長い。

　最後に、本稿の執筆にあたっては多大な技術支援をKDDI研究所 竹森敬祐 研究主査から受けた。この場を借りてお礼を申し上げる。彼の全面的な協力なくして本件は投稿できなかったと思う。心から感謝を申し添えるものである。

編集部より……「萩原栄幸が斬る！ IT時事刻々」は今回で終了いたします。2012年から萩原栄幸氏による新シリーズの連載を予定していますので、ご期待ください！

萩原栄幸

一般社団法人「情報セキュリティ相談センター」事務局長、社団法人コンピュータソフトウェア著作権協会技術顧問、ネット情報セキュリティ研究会相談役、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少（当時）で合格した実績も持つ。

情報セキュリティに関する講演や執筆を精力的にこなし、一般企業へも顧問やコンサルタント（システムエンジニアおよび情報セキュリティ一般など多岐に渡る実践的指導で有名）として活躍中。「個人情報はこうして盗まれる」（KK ベストセラーズ）や「デジタル・フォレンジック辞典」（日科技連出版）など著書多数。