ニュース
» 2013年12月10日 08時00分 公開

ウイルス対策ソフト4社の見解:Android狙いは当たり前 iOSも油断ならず――2013年のスマホ脅威と未来予測 (2/2)

[國谷武史,ITmedia]
前のページへ 1|2       

iOSは「ヒヤリ・ハット」時代に

トレンドマイクロの林憲明氏

 トレンドマイクロ フォワードルッキングスレットリサーチ シニアリサーチャーの林憲明氏は、iOSにおける脅威の可能性について言及した。iOSは、Appleが厳格なアプリ審査を行うことでマルウェアの危険性を排除しているが、2012年から2013年にかけて、その“信頼”を脅かす事態が起きた。

 まず2012年7月には、「Find and Call」というアプリがApp Storeで配布されているのが見つかった。セキュリティ各社の解析でこのアプリは、アドレス帳に登録されている連絡先にSMSスパムを送信することが分かり、「App Store初の不正アプリ」と指摘する企業もあった。Appleは同月中に、このアプリをApp Storeから削除している

 2013年には、App Storeでゲームアプリと紹介されながら、実際には出会い系サイトにアクセスするアプリが配布された。林氏によると、このアプリは単にWebページを表示するだけであり、開発者はAppleに「ゲームアプリ」と申請し、公開後に出会い系サイトに変更したとみられる。しかも、App Store上ではキャンペーンと称して多数のダウンロードを誘っていた。万一アプリから出会い系サイトにアクセスして利用してしまうと、ユーザーのプライバシーが侵害される恐れもあるという。

 この2つのケースは、いずれもApp Storeの審査をすり抜けて公開されたもの。林氏は、現行の仕組みが今でも基本的には安全性を確保しているものの、必ずしも万全では無いという。

 さらに、iOS端末に対する攻撃の可能性がApp Store以外の経路にも広がっている。直近の11月には、TwitterでiOS端末をクラッシュさせるツイートが拡散していた。ツイートにあるリンクをクリックすると、動画ファイルがダウンロードされ、端末が強制的に再起動させられてしまう

 解析からこのファイルは破損しており、それが原因となって端末がクラッシュしてしまうことが分かった。破損ファイルは偶然に生じた可能性が高いものの、それがイタズラなどによってTwitterに拡散したとみられる。この手段を使えば、悪意のある攻撃者がiOSの脆弱性を突く不正なコードを拡散させることもできてしまう。3月にもSafariブラウザをクラッシュさせるリンクを含んだツイートも拡散していた。

 林氏は、一連の出来事からiOSは「ヒヤリ・ハット」に直面していると指摘する。Androidのような脅威には至らないまでも、それにつながりかねない危険な事象が現実に起きた。特に、WebkitやSafariブラウザにはiOSのアップデートでも多数の脆弱性が報告されているだけに、今後はWeb経由で不正コードを実行させる攻撃が行われる恐れがあるという。

Androidマルウェアの時代に

マカフィーの奥富幸大

 マカフィー モバイルマルウェアリサーチャーの奥富幸大氏は、2013年が「モバイルマルウェア=Androidマルウェア」と言えるほどの状況になったと解説した。同社の観測では2012年10〜12月期にAndroidマルウェアが爆発的に増え、2013年は一定ペースで増加している。もはや、新種のAndroidマルウェアが恒常的に出回る時代になった。

 2013年にみられた攻撃には、脅迫型マルウェアの「ランサムウェア」や、オンラインバンキングサービスを狙って「バンキングマルウェア」などが世界的に横行した。日本では便利系アプリやアダルトアプリを装って不正に情報を抜き取るマルウェアアプリや、ワンクリック詐欺アプリによる被害が多発。PCでは常態化しているこうした攻撃がAndroidにも広まり始めた。

 奥富氏は、2014年もこうしたマルウェアの脅威が広がることに加え、端末固有の機能を悪用した攻撃の出現を予測する。スマートデバイスにはさまざまな無線通信技術が実装され、無線を介して近くの端末にマルウェアを感染させることができてしまうかもしれないという。端末のロック解除など使われる生体認証の悪用も予想され、「ドアノブに付いた指紋を採取して悪用する、まるで映画のような攻撃手法が具現化するかもしれない」(奥富氏)としている。

 また、iOSやAndroidに続く「第3のOS」として、世界の端末メーカーや通信会社などが開発を進めるFirefox OSやTizenの動向も注目されるという。これらのOSはセキュリティを強化したフレームワークを採用しているものの、Web技術をベースにしている。このため、フィッシング詐欺やWeb経由での不正なコード実行といった攻撃が多くなるだろうと奥富氏はみている。

前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ