エフセキュアがフィンランドに本拠地を構えるセキュリティ・ベンダーだというのは、読者の皆さまもご承知のハズ。でも、フィンランドと言われても、"北欧"や"オーロラ"、"ムーミン"といったイメージしか浮かばず、具体的にどんなお国柄なのか掴みづらいですよね。そこで今回は、フィンランドの首都ヘルシンキより毎回ホットな話題を提供してくれているショーン・サリバンの"ユーモアセンス溢れるキャッチコピー"に注目。最新のセキュリティ事情と、フィンランド人の人柄も併せてチェックしていきましょう!

エフセキュアブログで公開されている情報から、"これは!"と唸るようなトピックを中心に紹介している特別企画も併せてチェック!

「誰も彼を超えられない」

エフセキュアブログでもお馴染みのミッコ・ヒッポネンが、9月29日から3日間、カナダはバンクーバーで開催された「Virus Bulletin 2010」カンファレンスで「Best educator in the industry(業界最高の教育者)」賞を受賞したことを、「誰も彼を超えられない」というポストで伝えている。

エフセキュアのチーフ・リサーチ・オフィサーとして、あらゆるセキュリティに対する深い知識と、それらの情報をわかりやすく発信し続けてきたミッコの行動が評価されたことに賞賛を送るショーン。そんなショーンのポストから、フィンランド人は情に厚いということがうかがえる。

"業界最高の教育者"として表彰されたミッコ。これからも良き教育者として、セキュリティ業界はもちろん、我々一般ユーザーにも役立つ情報を提供してもらいたい

「キャッチ・ミー・イフ・ユー・キャン」

ショーンがポストした「PayPal 2.7 for iOS:キャッチ・ミー・イフ・ユー・キャン」は、非常に洒落が効いている。というのも、タイトルにも使用された「キャッチ・ミー・イフ・ユー・キャン」は、皆さまもご存じのように、レオナルド・ディカプリオが主演を勤め、スティーヴン・スピルバーグ監督の手によって映像化された20世紀最大の詐欺師、フランク・アバネイルの自伝小説「世界をだました男」の映画タイトルだ。そして、PayPalアプリの"小切手の写真を撮ることができる小切手キャプチャ機能"にショーンは着目し、21世紀のフランク・アバネイル……言い換えれば「未来の詐欺師」の手によって、この機能が悪用されないか懸念を示している。

日本でも少額決済の手段として着目されているPayPalだが、小切手を撮影して……というのは前時代的な気がするのは筆者だけだろうか?

幸いなことに、ショーンがリスクを指摘したPayPalモバイルアプリのiPhone版に関しては現時点ではストアを日本から米国へ変更せねばゲットできないようだ。Android、BlackBerryに関してはコチラ(原文英語表記)よりチェックして欲しい

小切手をキャプチャする機能によって起こりえるリスクを、より理解しやすい映画という題材を持ち出してイメージさせてくれるショーンの発想の豊かさはさすが。フィンランドは「寒いトコロ」というイメージだが、そこに住む人々は教養も高く表現はユーモアとウィットに富んでいて暖かい。

「ジェームズ・ボンドのようにクールなソフトウェアだって!?」

以前、スマートフォンを対象としたスパイツールや、iPhoneが乗っ取られるかもしれないという脆弱性によるリスクを紹介してきたが、今回ピックアップするショーンのポスト「スパイスイート「Phone Creeper v0.95」」も衝撃的な内容だ。

ショーンの報告によれば、XDA-Developersのメンバーのひとりが「Phone Creeper」という名のモバイルスパイスイートのバージョンアップをTwitterでつぶやいていたのをキャッチ。つぶやきのなかにあったリンクを辿った先にあるソフトの解説には、「これは携帯スパイスイートだ。下記のファイルが含まれている[SD]カードを挿入するだけで、密かにインストールすることが可能だ。同プログラムは、インストールされているプログラム、もしくは動作中のプログラムのもとであらわになることはなく、有用な機能を可能にする。同ソフトウェアが動作中の携帯電話は、遠隔的に[SMS]テキストメッセージにより[コントロール]することが可能だ」と衝撃的な内容が躍っている。しかも、遠隔操作を可能としており、

  • かけた通話のログを表示(削除されている場合も表示)
  • 受信したSMSのログを表示(削除されている場合も表示)
  • 連絡先を獲得
  • アポイントメントを獲得
  • タスクを獲得
  • GSPロケーションおよびGoogleマップリンクを獲得

上記の情報を秘密裏に収集することが可能なのだ。ショーンもここで「完全な機能を持つスパイツールのようではないだろうか?」と疑問を呈しているが、このツールの制作者の倫理的声明によると「楽しいから作った」ということらしい。

ショーンのポストより「Phone Creeper」配布元へアクセスすると、同スパイスイートが持つ機能をより把握することができるだろう。また、ショーンによればAndroid版も開発されているという

エフセキュアでは、Windows Mobile向けに開発された問題のモバイルスパイスイート「Phone Creeper」の侵入を「エフセキュア モバイル セキュリティ」によって防ぐ対策を既に講じている。 ショーンは「Strikerは悪い人間のようには見えないが、スパイスイートのサイレントインストールは、セキュリティスイートにより検出されるべきだ。作者の動機は"そのツールが実際に何をするか"ということほど重要ではない」と述べており、正しい答えを導き出すために重要な柱、絶対的な評価軸に従って判断すべきだというスタンスだ。一本筋の通った男、ショーンの意見には、筆者も諸手を挙げて賛成だ。悪用されることが案に想像できるのに改造が可能な状態で世間にばらまくのは、犯罪を助長しているも同然と言えよう。