これから予想されるモバイルアプリの脅威と対抗策――RSA

海外では高機能化が進むモバイルマルウェアを使った犯罪が広がり、その脅威が日本にも波及する可能性があるという。RSAは新たな対策技術の開発を進めている。

[國谷武史，ITmedia]

　スマートフォンやタブレット端末の普及を受けて、モバイルユーザーを狙うサイバー犯罪の手口も急速に進化しているという。EMCジャパン RSA事業本部が6月17日、2014年前半までに確認された脅威動向や対策への取り組みを説明した。

　米IDC調査で2013年は世界で約10億台のスマートフォンが出荷された。RSAでサイバー犯罪に関するインテリジェンスを担当する花村実氏は、「ほとんどの脅威はAndroidユーザーを狙っている」と語り、モバイルマルウェアの多機能化が進んでいると解説した。

　例えば、2013年11月に発見された「iBanking Mobile Bot」は、ユーザーの端末にインストールされているアプリ情報や写真などの画像データを収集して犯罪者に送信する機能や盗聴機能、約30種のオンラインバンキングアプリのテンプレートなどを搭載する。

多機能型モバイルマルウェアのBanking Mobile Bot

　犯罪者は感染先端末の動作を監視し、ユーザーがオンラインバンキングを利用すると、その情報を盗み取るという。「オンラインバンキングサービスから案内されたパスコードなどの第2認証情報が、犯罪者のもとへリアルタイムに転送される」（同氏）

　iBanking Mobile Botは、多機能であると同時にセキュリティ対策に対抗する特徴も備えるという。RSAが解析したところ、モバイルマルウェアが犯罪者のコンピュータを通信する際の接続先は暗号化されていて、解読を難しくさせていた。無数のダミーコードの中に実際に機能するコードを隠ぺいして解析を難しくさせているほか、Android SDKを使った解析を想定してこの環境でマルウェアが停止する仕様になっていた。

　同じく2013年に発見された「Svpeng」は、当初はロシア語によるフィッシング詐欺機能を備え、ユーザーがロシアのオンラインバンキングに接続すると情報を盗み取るものだった。現在では多言語対応になり、世界中で悪用できるものに進化し、ランサムウェア（データや操作などをロックして金銭を要求する不正プログラム）の機能も持ち合わせているという。

　このほかにも「Police Rock」と呼ばれるランサムウェアがオンライン上で広く販売された。Police Rockは、ユーザーのいる場所の警察当局などになりすまし、ユーザーに「不正使用を確認したので罰金を支払え」などとメッセージを表示して脅し、金銭を振り込むよう迫る。

　花村氏は、こうしたモバイルマルウェアが今後はアカウントアグリゲーションを標的にするだろうと予想する。

　アカウントアグリゲーションとは、複数のオンラインサービスのIDやパスワードなどの情報を集約（集約場所はWebサイトや端末内など）しておき、1つのIDやパスワードなどでそれぞれのサービスを利用できるようにするもの。海外ではオンラインバンキングやポイントサービスなど集約できる様々なサービスが提供され、国内でも口座管理などのサービスが一部で提供されている。

　花村氏によれば、アカウントアグリゲーションで利用しているIDやパスワードが盗まれると、ユーザーが登録しているサービスへの不正アクセスが可能になり、情報漏えいなど様々な被害に遭う恐れがある。既に米国では攻撃が確認され、国内でもアカウントアグリゲーションサービスの普及が進めば、危険性が高まるとみられる。こうした事態に備えて、例えば三菱東京UFJ銀行は複数の口座情報を一括管理できる「マネメモ」サービスを7月末に終了する予定だ。

1つの金融機関で提供されるオンラインサービスやアプリも多様化している（RSAまとめ）

パスワード認証に限界

　アカウントアグリゲーションのような仕組みが登場した背景には、1人のユーザーが利用する認証を伴うオンラインサービスの増加があるという。個々のサービスに用いるIDやパスワードの管理も煩雑になり、ユーザーは「覚えきれない」「面倒」といった理由からIDやパスワードを使い回す傾向にあり、昨今激増している不正ログイン事件での「リスト型攻撃」の原因にもなっているとされる。

PassBanアプリ

　このため、RSAでは2013年にモバイル認証アプリを手掛けていたPassBanを買収。PassBanの技術をベースに、生体認証やリスクベース認証など複数の認証手段を柔軟に利用できる技術の開発を進めている。パスワード認証の代替あるいは補完になるものという。

　生体認証では顔の表情や声、静脈といったユーザー固有の情報を用いるため、認証におけるセキュリティレベルが極めて高い。リスクベース認証では正規ユーザーの普段の利用環境を基準として、アクセスがある度に所在地や時間、コンピュータの仕様など様々な観点から基準と比較し、そのアクセスが正規ユーザーのものであるかを判断する。

　ユーザーにどの認証方式を求めるのかはサービス提供側に委ねられるが、この技術を例えばモバイルアプリで提供すれば、ユーザーは1つのアプリで異なるサービスのIDや認証情報を負担なく管理、利用できるメリットがあるという。ただ、生体認証などの情報は変更が極めて難しいため、犯罪者などに盗まれないことが絶対条件となる。花村氏はこの点に課題があるとし、製品化にはもうしばらく時間を要するだろうと説明した。