ニュース
» 2011年11月08日 19時00分 UPDATE

サイバー犯罪、すでにスマホユーザーがターゲット:「スマートデバイスを安全に利用するために」──トレンドマイクロとKDDIがセキュリティ説明会 (1/2)

スマートフォンやタブレットデバイス、セキュリティ観点では、ケータイの延長でなく「PCと同じ」と意識してほしい──トレンドマイクロとKDDIがスマートデバイス利用に関するセキュリティ説明会を実施した。

[岩城俊介,ITmedia]

自由に利用できるPCサイト/アプリ──だからこそ、スマートフォンのセキュリティ意識はPCと同レベルで

photo  

 トレンドマイクロとKDDIは11月8日、スマートフォ、タブレット(スマートデバイス)利用に関するセキュリティ事情の説明会を実施。スマートデバイスの一般層への急速な普及とともに、サイバー犯罪者の目的は単なる愉快犯から「金銭・情報目的」のタームへ移り、そのようなユーザーをすでにターゲットにしはじめている現状を説明した。

 KDDIは「3M戦略(マルチユース、マルチネットワーク、マルチデバイス)」を軸に、1つのIDであらゆるネットワークやサービスを横断的に利用できる製品ラインアップ・サービスの戦略を掲げている。そのうちのセキュリティサービスとして、Androidスマートフォンユーザー向けに「安心セキュリティパック」を2011年11月に提供する。

 安心セキュリティパックは、紛失・盗難時のリモートロック/位置検索機能(3LM提供)、リモートサポート機能(OPTIM提供)、そしてウイルス・Web脅威対策「ウイルスバスターモバイル for au」機能(トレンドマイクロ提供)の各種機能をひとまとめにしたスマートフォン用キャリアサービスの1つ。価格は月額315円(2012年2月末まで無料 ARROWS Z ISW11F、AQUOS PHONE IS13SH、DIGNO ISW11K、MEDIAS BR IS11Nは全メニュー対応、それ以外のAndroid 2.2以上のauスマートフォンはウイルスバスターモバイル for auのみ対応)、auスマートフォン以外のAndroid機器も「ウイルスバスターモバイル for Android」(2980円)を用意する。

photophoto マルチユース、マルチネットワーク、マルチデバイスを軸に推進するKDDIの3M戦略
photophoto auのAndroidスマートフォン向けに用意する「安心セキュリティパック」

 KDDIは、固定通信/無線通信ともにサービス展開する通信事業者として、マルチユース(多用途)、マルチネットワーク(LTE、WiMAX、固定、3Gなど)、マルチデバイス(スマートフォン、タブレット、PC、フィーチャーフォン、テレビなど)を垣根なく横断する「3M戦略」を事業の軸とし、1つのIDであらゆるネットワーク、サービスを利用できるようにする「クラウド/定額化によるユビキタス構想」の実現を目指す。2011年秋冬モデルで強化したWiMAX内蔵スマートフォンのほか、LTEサービスも2012年12月に公称100Mbpsで開始する予定とし、この“3M戦略”を徹底推進する考えとする。

photophoto KDDI サービス企画本部マルチアクセス&サービス企画部の小柴智裕氏、トレンドマイクロ コーポレートマーケティング部コアテク・スレットマーケティング課の内田大介氏

 「でも、待ってください。セキュリティはどうしています?──ということが意外に忘れられています。安心セキュリティパックの提供は、回線事業者として回線契約と一体とすべきという考えで最低限提供しなければならないものと考えて開発したサービスです。スマートフォンはケータイの延長線と考える人が多いと思いますが、セキュリティ観点ではPCと同じと考えてほしいと思います」(KDDI サービス企画本部マルチアクセス&サービス企画部の小柴智裕氏)

 これまでのケータイ(フィーチャーフォン)は技術仕様が比較的クローズで、端末メーカーごとに機種差分もあった。また、Webアクセスも通信会社推奨サイトがメインで、アプリケーションも通信事業者が運営審査管理するサイトから入手する。機種仕様がまちまちで対象範囲が狭いため、サイバー犯罪者にとって非効率=うまみが少なかった。

 対してスマートフォンは技術仕様がオープンであり、世界規模で共通するプラットフォームを用い、Webアクセス手段はPCとほぼ同レベルの自由さがある。さらにアプリケーションもメーカーや通信事業者が運営審査管理するサイト以外に一部一般サイトからも入手可能できる。

photophotophoto

 「WebアクセスはPCと同じ、アプリケーションも動作要件が合っていれば機種に関係なく利用できる。ここがフィーチャーフォンとは非常に大きく違います。」(トレンドマイクロ コーポレートマーケティング部コアテク・スレットマーケティング課の内田大介氏)

 つまりオープンで、ターゲット範囲も広大、さらに初心者含めて利用者が急速に増えている──攻撃者にとって都合がよい。PCは1989年に初のコンピュータウイルスが登場し、2000年代にこれまでの愉快犯的ウイルスから、金銭・情報の不正入手を主目的にしたサイバー攻撃へ移った。対してスマートフォンは2004年前後のウイルス初登場(Windows Mobile、Symbianなど)から、2010年にはすでに「金銭・情報の不正入手」のための攻撃が本格化し、急速な普及とともにその手口・手段も多様になっているという。

 ワールドワイドでは、ショートメールへのURL記述など巧妙な手口で誘導し、悪意あるBOTプログラムをインストール→遠隔操作できるようにするもの、通話をバックグラウンドで録音し、通話内容と通話に関する情報(日時や発信先など)を外部へ送信する盗聴的機能を有する悪意アプリケーション、さらに海外にはそれらを巧妙に仕込み、管理できるようにする「機器監視サービス」もすでに存在する。

photophotophoto 海外にある監視サービス。対象者の端末へ、巧妙に盗聴・情報収集アプリケーション(スパイウェア)を仕込ませ、Webツールにて通話盗聴、個人情報収集、GPS追跡などが行えてしまう。あるサイトでのサービス価格は年間349米ドル(日本円換算で約2万7000円 2011年11月現在)なのだそうだ

 また、日本固有のネット詐欺「ワンクリック詐欺」もまだ被害が多い。特にPC利用時には気をつけるはずのユーザーも、スマートフォンだと……という例が増えている。使い勝手が違い、使用用途も別である機器という認識から来る心理的な事例のほかに、PCではなく(意識が甘い)スマートフォンでアクセスさせるため、意図して「QRコード」などより巧妙に誘導する事例もあるという。

photophotophoto ワンクリック詐欺サイトはこれまでのPC向けとさほど変わらない傾向だが、「端末情報は“安全に保存”されました」などと出ること、自分はこのエッチなサイトを見ようとした、さらに年齢確認で確かに自分は「はい」を押した自負があるなど──にて罠に陥ってしまうようだ。画像=右はスマートフォンセキュリティの5か条


 PC利用者が、セキュリティ対策なしのWindows PCでインターネット接続→“そんなこと恐ろしくてできない”と思うのと同じように、スマートフォンやスマートデバイスでもすでにそう思わなければならければならない時期、実はすでに訪れていたようだ。

 最後に、あるアプリケーションにおけるインストール画面を見てほしい。1つは正式版、他方はBOTプログラムを仕込んだ偽装版だが、どちらが正式版か分かるだろうか。どこで入手するものかこの画面の前段階も判断材料にはなるだろうが、さておき、意外とこの手の画面だとそのまま「インストール」してしまいがちではなかろうか。

photo どちらが「正式アプリ」のインストール画面か。正解は次のページで
       1|2 次のページへ

Copyright© 2016 ITmedia, Inc. All Rights Reserved.