KDDIとトレンドマイクロは8日、スマートフォンのセキュリティに関して両社の取り組みを説明。ユーザーがスマートフォンを安心して使ってもらうことを目指していることを強調した。

KDDIは、マルチデバイス、マルチネットワーク、マルチユースの3M戦略を進めており、その中で、マルチデバイスの一環としてスマートフォンへの注力を勧めている。iPhone 4SやWindows Phone 7.5搭載のIS12Tもあるが、ラインナップの中心はAndroid搭載のスマートフォンだ。

KDDIサービス企画本部マルチアクセス&サービス企画部の小柴智裕氏は、スマートフォンを従来の携帯電話(フィーチャーフォン)の延長線と考えている人が多いと指摘。スマートフォンは技術仕様としては比較的オープンであり、WebにはPCレベルでアクセスできる、豊富なアプリが用意されている、といった特徴があるのに対し、フィーチャーフォンは仕様がクローズドで、Webアクセス機能は限定的であり、「メーカーや通信会社の管理が及ぶ範囲でのアプリやWebサイトの利用であればセキュリティはフィーチャーフォンと同レベル」と説明。ただし、スマートフォンでは自由度が増したため、安全性の見極めが難しく、セキュリティソフトの導入が望ましいと話す。

KDDIの安心セキュリティパック。マルウェア対策、リモートロック・ワイプなどのセキュリティプラットフォーム、リモートサポートを提供する

KDDIはAndroid向けに「安心セキュリティパック」を提供している。これはマルウェア対策、Webフィルタリング機能を提供するトレンドマイクロのセキュリティソフト、3LMのセキュリティプラットフォーム、オプティムのリモートサポートシステムがセットになったサービスで、月額315円で提供。セキュリティサービスをトータルで提供することで、「回線事業者として一定のレベルのセキュリティを提供する」(小柴氏)のが狙い。

トレンドマイクロのコアテク・スレットマーケティング課シニアスペシャリスト内田大介氏は警察庁の10月の調査を示し、今年4月以降、53の金融機関のインターネットバンキングを標的にした攻撃が133件発生し、約2億8,000万円の被害があったと説明。こうした金銭、情報の不正入手を狙った攻撃が増えている中、PC並みのWebブラウザを搭載し、世界規模でアプリが提供できるプラットフォームであるスマートフォンは、「より多くのユーザーを標的にできて攻撃者には有利」と内田氏は強調する。

今年に入って、6カ月間で3億円近い被害が発生している

PCの攻撃は愉快犯から金銭・情報を狙ったものへと変化しており、スマートフォンもそうした流れになってきている

内田氏は例として、中国経由で発見されたAndroid向けの盗聴アプリを紹介。これは、インストールしているとバックグラウンドで動作し、通話内容が録音されてしまうというもの。この盗聴アプリとの関連性は「不明」(内田氏)だが、通話時間や発信先などの情報も記録される「監視サービス」も存在するという。同様のサービスは英語圏でも提供されているそうで、「ストーカー的な悪用のリスクや、法人なら機密情報の漏えいによる産業スパイのような可能性もあり得る」と内田氏は話す。

通話内容を記録するマルウェア

実際にSDカード内に保存された通話記録

中国語の監視サービス

英語圏での同種のサービス

このほか、日本固有の攻撃としてワンクリック詐欺を紹介。「海外では無視してしまうので成り立たない」と内田氏はコメントするが、日本ではいまだに頻繁に行われているという。スマートフォン向けのワンクリック詐欺の実例では、動画サイトのリンクをクリックするとIPアドレスや「端末識別番号」などの情報が表示され、架空の請求金額を表示するというもので、PCでアクセスするとQRコードが表示され、スマートフォンでアクセスするように誘導するようになっている。「PCではフィルタリングで引っかかるケースが多いので、それを回避するためではないか」と内田氏は説明する。

スマートフォン向けのワンクリック詐欺の実例。IPアドレスや端末識別番号といった表示があるが、実際の数字とは限らないが、ユーザー側でそれを判断するのが難しいと内田氏

通常、こうした場合は「入場」「18歳以上」のようなリンクをたどってアクセスするため、「自分でアクセスしたから」といった弱みにつけ込んでいる。PC向けのフィルタリングを避けるためのQRコードも用意している

こうした攻撃に対し、内田氏はスマートフォンユーザーに対して「セキュリティ5カ条」を提案する。

  1. セキュリティソフト・サービスを利用し、不正アプリや不正サイト対策を行う
  2. OS・アプリを最新の状態で使用する
  3. 端末に登録したアカウントを管理する
  4. 端末のパスワードロックを行う
  5. 紛失時に適切な対処を行う

以上の5項目で、不正アプリやサイトの対策には「ウイルスバスターモバイル for au」を導入するほか、信頼できるアプリマーケットからアプリをダウンロードし、インストール前にはアプリの評価、パーミッションを確認する、安易なURLを利用しない、といった対策を紹介した。

ウイルスバスターモバイル for auでWebフィルタを設定しておくと、フィッシング詐欺サイトやマルウェア配布サイトなどの不正サイトをブロックしてくれる

このほか、OSやアプリはアップデートを行うことも推奨。GoogleアカウントやApple IDのようなアカウントは、漏えいするとアプリを勝手に購入・インストールされるなどの被害が起こりえるため、管理をきちんとする必要があると説明。さらに端末盗難・紛失時に備えてパスワードロックを施し、さらにリモートロックやリモートワイプ機能の活用を訴えた。

同じアプリ名だが、左はマルウェアが混入したもの。右の正常なアプリとは異なるパーミッションが要求されている

関連記事

KDDI、Android端末向けにリモートワイプを実現する「KDDI 3LM Security」 (2011/07/28)
トレンドマイクロ、Android版「ウイルスバスター モバイル」ベータ版を提供 (2011/05/11)
KDDI
トレンドマイクロ

(提供:AndroWire編集部)