IPAは、毎月発表するコンピュータウィルスや不正プログラムの状況分析から、「今月の呼びかけ」を発表している。今月は、スマートフォンのウイルスに関して注意喚起を行っている。

普及が進むスマートフォンを狙うウイルス

2010年は多くのスマートフォンが登場し、急激に普及が進んだ。その背景を受け、スマートフォンが新たなウイルスの攻撃目標となっている。2011年のPCやインターネットを取り巻く脅威として、各セキュリティベンダーもスマートフォンを必ずあげているといっても過言ではない。2011年の新たな脅威として注意喚起が行われている。

IPAでは今月の呼びかけ以外にも、1月21日に「Android OSを標的としたウイルスに関する注意喚起」も行っている。これによれば、Android OSで新たなウイルスが確認されたとのことだ。すでに現実的な脅威となっているのだ。なぜ、そのような事態に至ったのであろうか。IPAの呼びかけを紹介しながら、その理由や対策に迫ってみたい。

世界標準が脅威も標準化

これまで、日本の携帯電話は安全といわれてきた。その理由であるが、

  • 機種ごとに仕様がすべて異なる
  • 利用者の自由度が制限されている

がある。悪意を持った攻撃者にとっては、日本の携帯用のウイルスを作成しようとしても汎用性がない。つまり、ウイルス作成に見合った対価を得ることができなかったことが大きい。さらに、自由度の低さはそのままセキュリティの高さに繋がった。このような理由から、日本の携帯は、ウイルスの脅威などはほとんど考えられなかった。しかし、スマートフォンでは、状況が一変した。

図1 さまざまな電子機器へのウイルスの脅威(IPA「今月の呼びかけ」より)

図1にも示したように、

  • 海外製を含む多くの機器で共通の仕様となっている
  • 自由度を高めることで、セキュリティ面に影響がある

が指摘されている。前者は、共通のOSが使われている点が大きい。多くのスマートフォンが、共通のOSとしてAndroidなどを搭載する。つまり、海外の機種でも日本の機種でも同じOSが動いており、海外で作成されたウイルスがそのまま日本の機種で動作する可能性がある。後者の自由度に関しては、スマートフォンの主な機能として、アプリなどを自由にインストールできる点だ。インストールと同時にウイルスなどに感染する危険性もあるということだ。また、悪意を持った攻撃者にとっても、OSによっては仕様が公開されており、ウイルスを作成しやすくなっている。PCと同じような脅威にさらされていると、IPAでは警告している。

Androidを標的としたウイルスへの被害予防策

Android OSを標的としたウイルスは、既存の正規のアプリに混入していた。そのアプリをインストールすることで、スマートフォンがウイルスに感染してしまう。PCと異なるのは、スマートフォンの端末同士での感染や、利用者の操作なしで感染することはないことだ(あくまでも現時点である)。IPAでは、次のような対策をすべきとしている。

対策その1:信頼できる場所から、正規版をインストール

Android用のアプリは、さまざまなサイトから入手可能である。もっとも一般的なサイトは、Googleが運営する「Android Market」である。しかし、第三者が独自に運営するサイトもある。そのような一部のサイトでは、改造版・海賊版などを不正に配布していることもある。このようなサイトでは、ウイルスを混入させやすい。IPAでは、アプリの入手元の信頼性、さらには正規版であるかを確認すべきとする。

図2 さまざまなマーケット(IPA「今月の呼びかけ」より)

さらに、アプリの評価、コメント、ダウンロード回数などにも注目すべきである。これだけで100%安全とはいえないが、参考にはなるであろう。また、友人を装いメールに添付して、ウイルスが混入したアプリを配布することもあるので、注意すべきである。

対策その2:「提供元不明のアプリ」設定のチェックを外す

Androidの設定画面に「提供元不明のアプリ」という項目があるす。このチェックを外すと、Android Market以外で入手したアプリのインストールがブロックされる。

図3 「提供元不明のアプリ」設定の確認、変更方法(IPA「今月の呼びかけ」)

上述したように、信頼できないサイトで、海賊版などのインストールを行わないことで、ウイルスに感染する危険性を減らすことができる。もし、どうしてもAndroid Market以外のアプリをインストールする場合には、そのたびに設定を変更し、再度チェックを外すようにすべきである。

対策その3:インストール時の「アクセス許可」に注意

Androidでは、アプリがスマートフォンのどの情報/機能へアクセスするかを「アクセス許可」によって管理する。インストール時に「アクセス許可」を付与する(自己責任で行う)と、以降、ユーザーへの確認なしに「アクセス許可」の範囲の情報/機能に自由にアクセスする。過去のAndroidのウイルスでは、ゲームなどの無害なアプリに見せかけて、「アクセス許可」で「あなたの個人情報」や「料金が発生するサービス」の許可を求めた。この許可をよく確認せずにインストールすると、金銭的な被害が想定される。

図4 「アクセス許可」の表示画面の例(IPA「今月の呼びかけ」より)

たとえ正規版でも、インストール時の「アクセス許可」の内容を確認すべきである。不自然な場合や疑問に感じるのであれば、インストールは中止すべきだろう。図4の「電話発信」では、電話の状態を読み取る。これは、電話の着信状況に応じて再生中の音楽を停止するといった目的で使われる。この許可が与えられると、電話番号や端末識別番号などの情報を読み取ることができる。そして「ネットワーク通信」は、インターネットへのアクセスにより情報を送受信する機能である。一般には、広告に関するデータのやりとりに使われるものだ。仮に、この2つに許可を与えると、インターネットを通じて、電話番号などがどこかへ送信されてしまう可能性がある。したがって、最悪の事態も想定し、悪用されても困らない範囲の「アクセス許可」を与えるようにすべきである。

対策その4:セキュリティ対策ソフトの導入

最後に、セキュリティ対策ソフトの導入である。しかし、現時点では、日本語化されたAndroid用のセキュリティ対策ソフトは多くはない。

図5 カスペルスキーのモバイル用セキュリティ対策ソフト(英語版)

セキュリティベンダーによっては、近日中に国内販売される予定もある。注意力だけでは、脅威を防ぐことは難しい。情報収集を怠らず、すみやかに対応すべきであろう。繰り返すが、PCと同じレベルの対策が求められるのだ。