急速に普及が進むスマートフォンやタブレット端末には、PCと同様に脆弱性が存在し、ユーザーがセキュリティリスクに晒される危険がある。脆弱性やその悪用にはどのような傾向があり、ユーザーが取り得る対策は何か、専門家に聞く。
ここ数年、スマートフォンやタブレット端末の普及が急速に進み、年間の出荷台数がPCを超えたともいわれる。こうした機器のソフトウェアにはPCと同じようにさまざまな脆弱性が存在し、ユーザーがセキュリティリスクに晒される危険がある。現状ではどのような危険性が存在するのか。脆弱性研究を手掛けるフォティーンフォティ技術研究所 新技術開発室 室長の村上純一氏と、リサーチ・エンジニアの大居司氏に、iOSとAndroid、Windows Phoneを搭載する機器での傾向や対策を尋ねた。
iOSを搭載するiPhoneとiPadは、ユーザーに販売される時点で基本的にAppleによる保護が行われている。この保護を解除(通称「Jailbreak」)する際にiOSに存在する脆弱性が用いられ、システムの管理者権限を取得できるようにしてしまう。JailbreakはユーザーがiPhoneやiPadを通常よりも広い範囲でカスタマイズしたいといった場合に、自らの意思で行うのが一般的だ。しかし脆弱性を用いることから、大居氏は「攻撃者が何らかの方法でユーザーの意思とは関係なく端末をJailbreakした状態にさせてしまうことができる」と指摘する。その結果、ユーザーは端末に保存されている電話帳データなどの機密情報を盗まれたり、端末を不正に操作されたりする危険がある。
Androidを搭載する端末ではWebKitなどリモートから悪用できる脆弱性を悪用して、第三者がシステムの管理者権限を取得するような攻撃は確認されていないという。一方、端末にインストールされたシステムアプリケーションやドライバの脆弱性などを悪用する攻撃が目立っている。攻撃者は、正規アプリに見せかけたマルウェア機能内蔵のアプリをユーザーにインストールさせて、システムの管理者権限の取得(Androidでの通称は「root化」)、あるいは情報を盗み取ったり、端末を不正操作したりする。
Windows Phoneについては、上述したiOSやAndroidにみられる方法によって悪用されてしまう脆弱性は見つかっていないが、大居氏が最初のバージョンを搭載する端末(HTC 7 Mozart、OSバージョン7.0.7004)を解析したところ、ヒープメモリを保護する機能がiOSやAndroidに比べて十分ではないことが分かったという。脆弱性が見つかった場合に、端末にインストールされたアプリの情報を攻撃者に盗まれるなどの被害を受ける可能性があるという。
なお、AndroidとWindows Phoneはメーカーが多岐にわたる。一部メーカーの製品にはメーカーが独自に付加した機能に脆弱性が存在するケースがある。また一部メーカーでは端末に特定の通信経路(バックドア)を設けている。本来は認証されたシステムアプリケーションだけが使用するためのものだが、攻撃者が任意コードを実行できる場合にはバックドアを悪用する危険がある。
スマートフォンやタブレット端末の脆弱性対策はどうするべきか。村上氏は、iOSとWindows Phoneについては、開発元のAppleやMicrosoftが提供する修正パッチをユーザーがこまめに適用する基本的な方法の徹底が重要だとアドバイスする。
「攻撃者は常に新しい脆弱性を見つけようとするため、パッチを適用しても別の脆弱性が顕在化する“いたちごっこ”のような状況になるが、OSを管理するベンダーの対応は比較的早い」(村上氏)
一方、Android端末では基本的にメーカーが提供するパッチやアップデートを適用する以外に方法がない。加えてメーカーによって脆弱性への対応に違いがあるという問題もある。
「IPA(情報処理推進機構)の調査でも、脆弱性が存在する端末にアップデートが提供されていないケースが明らかになった。Androidは開発ペースが非常に速く、メーカーによるカスタマイズも多いことから、脆弱性への対応が十分にできていない現状がある」と村上氏は指摘する。
大居氏が解説するように、Androidを標的にする攻撃は現時点ではアプリを悪用するケースが大半だ。ユーザーが取り得る対策としては、Android Marketや通信事業者などが提供する公式アプリストアなど、ある程度のセキュリティ対策が取られているアプリストアを利用すること、また、不審なアプリはできる限りインストールせず、インストールする場合でもアプリがアクセスを要求する権限事項を確認することなどが求められる。
「アプリ本来の機能では必要性がないと思われる権限を要求するケースは注意が必要。広告を伴うようなアプリで端末の設定情報を読み取る権限を要求するような場合や、逆に具体的な権限を明示しないような場合もあり、十分な確認が難しい場合もある」(大居氏)
また企業などでスマートフォンやタブレット端末を利用する場合、「モバイルデバイスマネージメント(MDM)」と呼ばれる仕組みを併用することで、セキュリティ対策を強化できる。MDMは、盗難や紛失の場合に管理者が遠隔操作でデータを消去したり端末をロックしたりする機能を搭載しているが、製品やサービスによってはアプリケーションのインストールや実行を制限する機能もある。大居氏は、「私見だが、Androidでは業務用アプリ以外は利用させないようにすることも検討した方が良いだろう」とアドバイスしている。
Copyright © ITmedia, Inc. All Rights Reserved.