2016年は、モバイルセキュリティの信頼性が揺らいだ年であり、モバイルOSのセキュリティの転換期だったと言ってよいだろう。モバイルOS内部のセキュリティの問題が、世間の注目を広く集めた。特に、AppleがすべてのiOSユーザーへ緊急パッチを配布した背景には、今まで公表されていなかった脆弱性をハッカーに悪用されたことが大きく影響している。
スマートフォンとして圧倒的な人気があるiPhoneだが、最近では脆弱化が進んでいるように見える。というのも、Android、iOSといったOSに関係なく、StageFright(Android内蔵のメディアプレーヤー「Stagefright」の脆弱性)、Trident(iOSの脆弱性)、QuadRooter(Android端末で多く採用されているクアルコム製チップセットの脆弱性)などが検出されているからだ。
モバイルOSにおいては今後も、こうした脆弱性が定期的に発見されるのだろうか。
セキュリティは高いが、100%の保証はない
ここまで、モバイルOSセキュリティの低下について語ってきたが、実のところ、モバイルOSのセキュリティは、今もなおデスクトップOSよりも優れている。双方を客観的に見た場合、攻撃者にとって、モバイルデバイスへの侵入は依然として難しく、PCやノートPCに比べて、悪用される可能性が低いことは明白だ。
こうしたモバイルOSのセキュリティがデスクトップOSよりも優れているという事実は、偶然の産物ではない。ソフトウェア・ベンダーはこれまで脆弱性を抑える対策を積極的に導入してきた。その1つがサンドボックスである。これは、保護された領域内で動作させ、デバイスの重要部分へのアクセスを不能にすることで、アプリ内の脆弱性の影響を排除しようとする技術だ。すなわち、たとえアプリに脆弱性が存在したとしても、サンドボックスを活用すれば、デバイス全体に影響を及ぼす悪用を防ぐことが可能になる。
さらに、より効果的な保護を実現するため、アプリケーションのコード署名や表面のハードニングなどの手法も利用されている。コード署名は、アプリケーションのソースと開発者の正当性を保証する。これはデジタル署名として機能し、ユーザーはアプリケーションの開発者とその信頼性を正確に知ることが可能だ。一方、表面のハードニングは、開発ツールとOSによって提供される防御策で、メモリ破損攻撃からの保護を実現する。
もっとも、モバイルOSはデスクトップよりも安全だと強調したところで、豊富な資金力と専門知識を背景に最善の環境を確保し、悪意あるペイロードやバックドアを秘匿しようとする攻撃者にとって、絶対に突破不可能なものではなく、魅力的なターゲットであることに変わりはない。
透明なマントになってしまうAndroidやiOS
Appleをはじめとするソフトウェア・ベンダーは自社のシステムを厳重に保護しており、セキュリティベンダーや研究者は、モバイルOSの下層の内部構造を調査するため、システムにアクセスすることは認められていない。このような設計を選択したことはやむをえないとは思うが、その結果、研究者はシステムやそこに潜んでいる可能性のある問題について洞察を深めることはできなかった。
したがって、AndroidもiOSは一度侵入されてしまうと、優先レベルで実行される悪意あるペイロードにとっては、これ以上ない「透明マント」となってしまう。
これを裏付ける直近の事例としては、2016年8月下旬に公開され、iPhoneにおいてスパイウェアやマルウェアのインストールをワンクリックで可能にした、iOSの脆弱性が挙げられる。イスラエルのソフトウェア・ベンダーであるNSOグループが悪用していたこの脆弱性は、いったんマルウェアに感染するとiPhoneへの完全なアクセスを許してしまい、ハッカーはその端末を徹底した監視下に置くことができるものだ。
システムへのアクセスを認めることは、脆弱性の悪用につながってしまうだろうか。おそらく、そうではないだろう。OSの構造やカーネル層への調査が深まることによるメリットが期待される。具体的には、チャネルを変換する隠されたプロセスやデバイスへの悪意ある意図的な脅威など、研究者が異常を見つけ出すのに役立つと考えられる。
協力体制の構築がもたらすセキュリティの強化
システムに対するアクセスの状況は当分変わらないとしても、昨今、ハードウェア、通信事業者、セキュリティ・ベンダーによる協力体制が改善されており、希望の光がさしつつある。こうした新たな協力体制は、モバイルOSへの侵入検知技術の向上という形で、実を結びつつあるのだ。
その例として、クアルコムのモバイルセキュリティ技術である「Qualcomm Snapdragon Smart Protect」が挙げられる。これは行動に基づく検知を可能にするもので、アンチマルウェア製品よりも一歩進んだ検知技術だ。
「Qualcomm Snapdragon Smart Protect」は、プロセッサレベルで組み込まれ、デバイスのメモリへのアクセス権を取得し、データを書き換える未知のアプリのような疑わしい行動を特定すると、それが脅威であると考え、検知と保護を行う。そして、新たな脆弱性(ゼロデイ攻撃)を発見した時は警告を発する。
「Qualcomm Snapdragon Smart Protect」の導入が進めば、ホスト型の侵入検知システムと同様の動作が可能になり、ランサムウェアの新たな亜種などによるモバイルデバイスへの攻撃をより効果的に特定できると期待されている。
同様の考え方により、セキュリティ・ベンダーと通信事業者の協力体制の向上により、モバイル脅威の検知方法にも大きな影響が期待される。モバイル版のセキュリティアプリがデバイスにインストールされている場合、保護の範囲も限定的で、削除も容易だ。一方、セキュリティ対策を携帯キャリアのレベルで実装すれば、安全性が高まり、ユーザーに対し、これまでよりもはるかに包括的な保護を提供することが可能になる。
オープンなエコシステムこそ最大の防御策
とはいえ、「Snapdragon Smart Protect」のように、カーネルレベルのセキュリティツールが開発段階から抜け出せず、通信事業者とセキュリティ・ベンダーの協力が世界規模でバラバラに行われ、研究者がモバイルOSへアクセスできない状況が続く限り、効果的な攻撃を検知することは今後数年間は不可能だろう。
結局のところ、iOSのような均質的なシステムはある意味、常に脆弱な状態にある。モバイルのエコシステムに多様性を取り入れることができなければ、ベンダーがセキュリティを長期的に保証することはできない。
国家またはそれに準ずる組織が支援する攻撃者は、こうした弱みを十分認識しており、iOSとAndroidの双方を乗っ取るために投資を行っていると考えて間違いない。閉鎖的な環境では、攻撃が成功した場合、その持続力によって最高の投資対効果(ROI)が保証される結果となってしまうのだ。
Sinan Eren(シナン・エレン)
製品管理担当バイスプレジデント、Avast Mobile Enterprise、Avast Software
2015年7月、Avast Softwareに入社、Avast Mobile Enterprise部門の製品管理担当バイスプレジデントを務めている。Avastに入社する前は、後にAvastが買収したRemotiumを2012年に共同設立し、CEOを務めていた。同社ではスマートデバイスの仮想化基盤、VMP (Virtual Mobile Platform) の開発・製品化を推進。