世界的にスマートフォンが一大ブームになっている。きっかけとなったのはiPhoneの登場だが、それに続いたAndroidもけん引役となっている。Androidは、OSがオープンソースでライセンス料がなく、自由に使えるため、多くのメーカーが端末を投入し、それを通信事業者が採用してきたことで世界中に広まっている。
Androidはカスタマイズも自由であり、ビジネスモデルも自由に構築できるのが強み。国内では特にNTTドコモとKDDIが、自社のビジネスモデルをAndroid上に構築し始めている。これまでiモードやEZwebといった形で提供されてきた「ケータイインターネット」が、スマートフォン向けにも提供されている。
Androidの自由度は、キャリア以外から提供されるサービスにも現れている。Androidのアプリを配信する「Android Market」は、基本的に自由にどんなアプリでも公開でき、そこで提供されるサービスも自由だ。犯罪、公序良俗など、当然の制約はあるが、自由度は高い。
その反面、こうした自由度はリスクの温床でもある。AndroidはGoogleが提供するプラットフォームだけあって、その考え方はインターネットに近い。誰でも何でも自由にできるが、法律や評価(レピュテーション)などによって淘汰されていくという仕組みで、常に一定のリスクが存在することになる。
実際、Android端末を狙った攻撃は、その普及とともに増加を続けており、Android Marketに公開されたアプリが個人情報を盗んだり、金銭を奪う目的で使われたりと入った被害が出てきている。
問題はそれだけではない。携帯電話は個人情報の宝庫であり、常に身につけ、個人が利用する個人属性の強い製品でもある。そのため、携帯電話の利用履歴をたどり、追跡をすれば、その個人の情報を深く収集することだってできてしまう。
こうした情報収集は、従来もWebサービスや広告で行われているが、インターネット上ではすでに問題視され、対策されたり、廃れてしまったりしたようなやり方が、スマートフォン向けに改めて登場している例もある。
もちろん、今でもインターネット上で問題になっているようなリスクは、インターネットに直接つながるスマートフォンでも同様にある。この連載では、Androidのリスクを中心に、スマートフォンのセキュリティについて解説していきたい。
Androidのセキュリティモデル
と、これだけではなんなので、第1回目としてAndroid Marketにおいて新しく始まったセキュリティサービスについて説明したい。
Android Marketからダウンロードされたアプリ数が全部で110億を超え、その中にはマルウェアと呼べるアプリも多い。例えばKDDI研究所の調査では、400本の無料アプリを調査したところ、約6%から位置情報や電話番号などの情報を無断で送信していたという。
こうした状況に対して、Googleもようやく対策に乗り出し、コード名「Bouncer」と呼ばれる機能をAndroid Marketに追加している。これは、Android Marketで配布されているアプリを自動的に検査し、セキュリティチェックをするというものだ。Googleの発表では、すでに2011年からこれを実施していたという。
既存アプリも新たに配信されるアプリも、Android Market上のすべてのアプリが対象で、開発者がアプリを配信のためにアップロードすると検査が行われ、既知のウイルスやスパイウェア、トロイの木馬を検出するようだ。
具体的には、アプリを実際に動作させ、その動きを検証して問題のある動作を検出する方法で、実際の端末上でどのような動作をするかをエミュレートして検査するそうだ。
このBouncerによって、2011年でマルウェアの可能性のあるアプリを40%削減できた、という。Googleでは、この間にセキュリティアプリやマルウェア対策アプリを開発する企業からは、マルウェアが増加しているという報告があった、としつつ、Android Marketからインストールされるマルウェアの数は顕著に減少している、としている。
アプリの配信においては、アップルとマイクロソフトはそれぞれ、手動でアプリを審査し、安全性を検証してから公開している。その中でまれに審査をすり抜け、マルウェアとして分類されるようなアプリが公開されることもあるが、数自体は少ない。
それに対してAndroid Marketでは審査がない。Androidプラットフォームが年250%という高い伸び率を示すのにあわせ、自由にアプリを公開できるAndroid Marketを悪用した攻撃が増えているのは確かだ。Googleらしいのは、手動での検査ではなく、マルウェア検出も自動化したという点だ。アプリ自体の内容や機能を検査しているのではなく、「Googleがマルウェアと判断した動作をするアプリ」だけが検出されるわけで、これによってAndroid Marketの安全性が確保されたわけではなく、今後もアプリのインストールには注意が必要だが、安全度は向上したと言っていいだろう。
