トレンドマイクロでは、「12 Security Predictions for 2012」において「今後も引き続き、スマートフォンやタブレット端末もサイバー攻撃の標的になるだろう」と予測しています。モバイル端末の利用が世界規模で急増する中、「Webからの脅威」は、もはや従来のコンピュータに限定された問題ではないということです。今や数多くのアプリストアが「ソフトウェアのダウンロード先のサイト」として存在し、ユーザはそこから様々なアプリを愛用のモバイル端末へとダウンロードしているからです。

つまり、プラットフォームは変わっても「これまでと同じ脅威のシナリオ」が繰り返されるということです。アプリストアから好みのアプリをダウンロードしたはずのユーザが、結果的には不正プログラムをダウンロードしてしまったというシナリオです。「モバイルアプリがサイバー犯罪者たちの“新開拓地”として悪用される」と言われる理由がここにあります。

本稿ではまず、今日、モバイルアプリがスマートフォンユーザの中でどれだけ大きな人気を博しているかを見ていきます。「プライベートで使用しているモバイル端末が仕事でも利用されて双方の境界が曖昧になっていく」という、いわゆるコンシューマライゼーションの流れの中、多くのユーザにとってスマートフォンとモバイルアプリの利用は、今や不可欠となってきています。サイバー犯罪たちは、こうした状況を利用して、自分たちが作成した「不正アプリ」や「トロイの木馬化されたアプリ」のユーザへの配布(感染)を目論んでいるのです。また後半では、「モバイル端末を使用する上でどのようにしたらこういった脅威から身を守ることができるか」に関する注意事項や対策についても説明します。

モバイルアプリとは、どのようなもの指しますか。また、どうして大きな人気を博しているのでしょうか?

モバイル端末の利用が急増する中、これらの端末専用のアプリケーションも必要となってきました。スマートフォンやタブレット端末専用に作成されたソフトウェアの総称であり、一般的には「モバイルアプリケーション」もしくは「モバイルアプリ」などと呼ばれます。

現在、「Android Market (訳注:2012年3月7日より「Google Play」に統合)」や、「App Store iTunes」、「Nokia Ovi Store」、「Blackberry App World」、「Samsung Apps」、「Windows Phone Marketplace」といったアプリストアにおいて数千種にも及ぶアプリをユーザは無料で入手もしくは購入することができます。こうしたモバイルアプリは、エンターテイメントや教育に利用するものから日々の実用に役立つものまで、まさしく「各消費者の特別なニーズに応えるための多種多様な品揃え」となっており、こうした点が大きな人気を博している理由だといえます。ごく普通のスマートフォンユーザに便利と楽しさを提供してくるのが、こういった様々なアプリなのです。

ユーザは、一般消費者としてどのようにモバイルアプリを利用していますか?

GoogleのAndroidプラットフォームやAppleの場合、アプリをいくつかのカテゴリに分けて整理し、ユーザがすぐに理解して簡単にダウンロードできるような配慮をしています。Appleの場合、たとえばいくつかを挙げると、以下のようなカテゴリが用意されています。 

  • ゲーム
  • エンターテインメント
  • ソーシャルネットワーキング 
  • 旅行
  • 仕事効率化
  • 教育 
  • ユーティリティ
  • 天気

具体的には、「iTunes App Store」の場合は22項目、また「Android Market (:2012年3月7日より「Google Play」に統合)」の場合は27項目のカテゴリまでに拡大しています。さらにiTunes App Storeの「ゲーム」の項目では、その大きな人気から「アクション」や「アドベンチャー」、「アーケード」など数多くのサブカテゴリも用意されています。もちろん、「Blackberry App World」や「Nokia Ovi Store」 など他のアプリストアも、それぞれ独自のカテゴリを用意しています。

実際、2011年にダウンロードされたアプリ全体の中で「ゲーム」の項目が占める割合は26%とトップであり、第2位がエンターテインメント関連のアプリで12.2%、第3位が実用ツール関連のアプリで11.7%だったといいます。

ユーザは、どこからモバイルアプリを無料で入手もしくは購入するのですか?

通常、モバイルアプリは、いわゆる「モバイルアプリ配布ページ」を介して入手・購入されます。それぞれのモバイルOSに応じて公式サイトが用意されており、ユーザはそこからダウンロードすることにより目的のモバイルアプリを入手・購入します。こういったアプリストアは、いわば「コンピュータにおいてユーザがソフトウェアやプログラムを入手・購入する際のダウンロード先の公式ベンダーサイト」に相当します。

以下は、リンク先のソースに基づき、アプリストアごとのアプリ数およびダウンロード数の関係を示した表です。

アプリストア 入手・購入できるアプリ数 ダウンロード数
Android Market(訳注) 450,000 100億
iTunes App Store 425,000 150億
Nokia Ovi Store 116,583 1300万/日
Blackberry App World 60,000 200万
Samsung Apps 13,000 1億
Windows Phone Marketplace 70,000 N/A

訳注:「Android Market (訳注:2012年3月7日より「Google Play」に統合)」

アプリストアからアプリをダウンロードする際、どのようなリスクがありますか?

ほとんど認識されていないことですが、公式のアプリストアからアプリをダウンロードする際にも、一定のセキュリティリスクが発生します。

アプリストアの中でも、Androidプラットフォームの場合、「アプリのディベロッパーが自由に自作のアプリをアップロードできる」というアプリ配布における“オープンな仕組み”から、絶えずサイバー攻撃の標的となっています。ただもちろん、このことは、他のプラットフォームのアプリストアの方が安全で、利用の際にセキュリティにそれほど注意を払わなくてもよいというわけではありません。

ユーザは、いわゆるサードパーティのサイト(非公式アプリストア)で提供されているアプリを入手・購入することも可能ですが、こうした非公式アプリストアからアプリを入手・購入することは、コンピュータでいえば、「安全性が確認されていないサイトやピアツーピア(P2P)のファイル共有ソフトを利用できるサイトからプログラムのダウンロードを行うのと同じぐらいリスクが高い」といえるでしょう。むろん、こういったサードパーティのアプリストアは、もとより不正活動のために存在しているわけではありません。しかしながら、ディベロッパーが自作のアプリをアップロードする際にその安全性をしっかりとチェックする仕組みやリソースが確保されていないケースが多いのも事実でしょう。その結果、これら独立系のアプリストアには、「悪意をもったアプリ」や「不正な変更を施されたアプリ」、「違法に複製されたアプリ」などが出まわることになります。こうした点からも、「利用するアプリストアがモバイルアプリのダウンロードに際して発生し得るリスクや脅威を防ぐためにどのような“ビジネスモデル”を用いているか」を知っておくことは重要となります。

実際、公式アプリストアは、リスクや脅威の軽減のためにどのような“ビジネスモデル”を用いていますか。

iTunes App Store

Appleのモバイル端末の場合、「iTunes App Store」で購入したアプリしか使用できない仕組みになっています。また、この公式アプリストア自体の利用にも専用のアカウントが必要です。ただし、iPhoneやiPodやiPod Touchの場合、端末に「Jailbreak(ジェイルブレイク)」という処置を施すことで、他のアプリストアからの入手・購入したアプリをインストールすることが可能になり、この部分でリスクや脅威に見舞われる可能性があります。

Android Market

Android系の端末の場合、アプリの扱いはそれほど厳格ではありません。ユーザは、「Android Market(訳注:2012年3月7日により「Google Play」に統合)」以外のサイトからも望みのアプリを自由にダウンロードすることができます。むろんその際、端末への「ルート化」(Appleのモバイル端末での「ジェイルブレイク」の処置に相当)を施す必要もありません。また、アプリのディベロッパーは、25米ドルの登録料さえ払えば、誰でも自由に自作のアプリをアップロードし、Android Marketを介して配布することができます。ユーザが有料のアプリを購入した場合の支払いも、「Google ウォレット」や、通常のクレジットカード、「携帯通信会社への直接請求」などの方法で行えます。

Blackberry App World

Android系の端末ユーザと同様、Blackberry端末のユーザも「Blackberry App World」以外のアプリストアから自由にアプリをダウンロードすることができます。また、アプリのディベロッパー側も、メンバーシップの登録を行えば、自作のアプリを自由にBlackberry App Worldへアップロードすることができます。ただし、メンバーシップ登録の際、自作のアプリのチェックは実施されます。

Nokia Ovi Store

Nokia Ovi Store」では、ディベロッパーから提供されるアプリに関して一定の管理が行われています。ここで自作アプリを提供したいディベロッパーは、まず「事前テスト」のためNokia側にそのアプリを提出する必要があります。Nokia側の品質管理チームが事前テストを行い、問題がなければNokia Ovi Storeからの提供を許可するというプロセスになっています。このプロセスには4日から6日の期間を要します。また、ディベロッパーの登録も必要であり、最初に一度だけの登録料を支払います。Nokia系の端末のユーザの中には、他のディベロッパーが作成したアプリをダウンロードするケースもあります。

Windows Phone Marketplace

Appleのケースと同様、この公式のアプリストア(「Windows Phone Marketplace」)以外からのアプリのダウンロードに対して制限を設けています。また、自作のアプリをアップロードしたいディベロッパーは、登録およびメンバーシップ料の支払いが必要となります。自作のアプリに対して承認プロセスも設けられており、承認が完了するまで長くて5営業日を要します。

Samsung Apps

Samsungのスマートフォンは、AndroidやWindowsのOSを搭載している端末もあり、「Samsung Apps」では、これらのOS上で使用できるアプリも提供されています。ただし、提供されているアプリの90%は、自社独自のオープンモバイルOSである「Bada」のユーザ向けです。この公式アプリストアでも、ディベロッパーが自作のアプリをアップロードするためには、承認プロセスが必要となります。

現在のモバイルプラットフォームは、どのような脅威にさらされていますか?

ユーザの消費志向は、これまで以上に上述のOSを搭載したスマートフォンやタブレット型端末、その他のモバイル端末へと移行してきています。このことは、これらのモバイル端末を感染させて不正活動を拡散を目論むサイバー攻撃において、現在のモバイルプラットフォームが格好の標的になってきていることを意味します。

また上述の公式アプリストアの中でも、特に「Android Market (訳注:2012年3月7日により「Google Play」に統合)」が、既に「不正アプリやトロイの木馬化されたアプリを利用した複数の攻撃」に見舞われています。これは、このアプリストアにおける「比較的オープンなポリシー」や「自作のアプリを提供したいディベロッパーに対しても必要以上に厳格な審査が行われない」といったことが理由といえます。このため、サイバー犯罪たちは自分たちの不正アプリやトロイの木馬化されたアプリを正規アプリに偽装し、この公式アプリストアにアップロードして広く配布させるといったことが簡単に行えるのです。こうした手口から、ほとんど審査が実施されることもないサードパーティのアプリストアなどは、もっと大きなリスクをはらんでいるといえるでしょう。

Android OSを狙う不正プログラム

12 Security Predictions for 2012」でも、Androidのプラットフォームはアプリの開発や配布に関してオープンなポリシーを採用しているためサイバー攻撃の標的になりやすいという予測をしていますが、この予測は、トレンドマイクロの調査により判明した複数の事例からも裏付けられたといえます。

実際、既に様々な「Android OSを狙う不正プログラム」が登場していますが、これらを「手口」や「被害」から見ると、以下の表のように整理できます。

攻撃のタイプ 手口 ユーザの被害
データや情報の収集 モバイル端末に保存されている情報を収集し、不正リモートユーザに送信する。 収集された情報が不正リモートユーザ等に悪用される。
プレミアムサービスの悪用 ユーザが気づかないうちにモバイル端末を利用して「高額請求の発生するプレミアムサービス」の申し込みがなどが行われる。 ユーザが身に覚えのない高額請求を受ける。
クリック詐欺 ユーザが気づかないうちにモバイル端末がオンライン広告(ペイ・パー・クリック)などに悪用される。 ユーザの身に覚えのないクリックを介してサイバー犯罪が利益を得る。
不正ダウンローダー 他の不正なファイルやアプリがユーザの端末にダウンロードされる。 モバイル端末がさらなる感染被害に見舞われる可能性が発生する。
スパイツール GPSデータなどがモニタリングされ、モバイル端末のユーザの位置情報などが、サードパーティに送信される。 サイバー犯罪たちが、標的にしたいユーザの位置情報を把握することができる。
ルート化 モバイル端末のルート権限を取得し、すべての機能・操作を掌握する。 ユーザのモバイル端末がさらなる脅威や感染被害に見舞われる可能性が発生する。

ここ数年でトレンドマイクロが確認した中でも、特に「サードパーティのアプリストアが利用された要注意事例」は以下のとおりとなります。

  • 2010年下旬、中国のサードパーティ・アプリストアを介してトロイの木馬化されたアプリが配布されている事例を確認。このトロイの木馬化されたアプリ(「ANDROIDOS_GEINIMI.A」として検出)は、不正コードを含んでおり、ユーザのモバイル端末にインストールされると、ユーザに気づかれず背後で実行され、不正リモートユーザからのコマンドを受信します。
  • これも中国のサードパーティ・アプリストアからですが、恋愛テストや、電子書籍リーダー、位置情報追跡などの正規アプリを装ったアプリ(「ANDROIDOS_LUVRTAP.B」として検出)を確認。インストールされると、このアプリは、ユーザの端末から情報収集を行います。また、高額請求の発生するプレミアムサービスに申し込むメッセージを送信する機能も備えており、感染したユーザは、身に覚えのない高額請求を受けることになります。
  • スパイツール(「ANDROIDOS_NICKISPY.A」として検出)の発生も確認。このツールは、感染したユーザの端末からGPS位置情報や、SMSのメッセージ(以下、テキストメッセージ)の受信欄や送信欄の情報、録音した通話情報などを収集する機能を備えています。
  • ゲームアプリの「Coin Pirates (コインパイレーツ)」がトロイの木馬化されたアプリの存在も、サードパーティ・アプリストアで確認。「ANDROIDOS_PIRATES.A」として検出されるこのトロイの木馬化されたアプリは、ユーザの端末に関連する情報を収集し、ユーザが使用するテキストメッセージから特定のキーワードをモニタリングする機能を備えています。

上述のとおり、「Android Market (訳注:2012年3月7日により「Google Play」に統合)」では、「アプリのディベロッパーの登録」という点では、厳格な制限を設けてはいません。これは、Android側のビジネス戦略でもあり、こうすることで、将来的にアプリ・ディベロッパーがより多く参加できる環境を整えることを意図しています。反面、これにより、サイバー犯罪たちもディベロッパーとして簡単に登録できてしまうため、不正なアプリやトロイの木馬化されたアプリなどがアップロードされてしまうことになります。以下は、そうした“制度上の弱点”が悪用されて発生した要注意事例となります。

  • ANDROIDOS_LOTOOR.A」として検出されるトロイの木馬化されたアプリがAndroid Marketでもいくつか確認された中、それらを解析したところ、その1つが「Falling Down」というゲームアプリがトロイの木馬化されたものであることが判明。この偽アプリがインストールされると、ユーザは必要以上に多くの許可項目に関する合意を促されます。こうしてユーザの端末から「IMEI(端末識別番号)」や、「IMSI(携帯電話のユーザに割り当てられた識別番号)」、「端末へのルート化」に関連する情報などが収集されます。 
  • Android Marketで確認された不正なアプリやトロイの木馬化されたアプリの中でも特に悪名高いものが、「DroidDreamLight」と呼ばれる不正プログラムです。トレンドマイクロの調査では、「APKファイルの管理ツール」という正規のアプリを装っていますが、実際は、このアプリ(「ANDROIDOS_DORDRAE.M」として検出)は、ユーザの端末に関連する情報を収集し、リモートサーバに送信するという機能を備えています。Android Marketでは、このアプリは、発見後ただちに削除されたようです。 
  • Googleは、不正アプリやトロイの木馬化されたアプリに対するセキュリティ対策として「Android Market Security Tool」というツールをAndroid Marketでリリースしました。しかし、サイバー犯罪側は、そのような対応に邪魔されるどころか、このセキュリティ対策ツールをトロイの木馬化させた偽アプリさえリリース。「ANDROIDOS_BGSERV.A」として検出するこの“偽セキュリティツール”は、バックドア機能を備えており、ユーザの端末から情報を収集し、収集した情報をリモートURLへ送信します。

また、サイバー犯罪たちは、「他のOSのモバイル端末で人気のアプリで、まだAndroid Marketでは入手できない」といった状況を悪用するケースもあります。Android系の端末のユーザで、そういったゲームの登場を心待ちにしているユーザなどは、こうした策略にあっさりとはまってしまう危険性があります。最近の例としては、「Temple Run」がこのケースに当てはまります。これは、iOS上で人気のアプリですが、その偽物がAndroid Marketに存在するのをトレンドマイクロでは確認しました。

脆弱性を利用する「iOS用のジェイルブレイク・ツール」

Androidと異なり、iOSの場合、利用できるアプリが「iTunes App Store」で入手できるもののみに限定されています。これにより、ユーザが利用するアプリの範囲をiTunes App Store側で完全にコントロールすることが可能なります。ただし、こうした条件下であっても、iOSが脅威に見舞われることが全くないとは言い切れない状況も存在します。

「JailBreakMe」などのジェイルブレイク用ツールの存在がその理由です。こうしたツールは、Apple系の端末をジェイルブレイクするために用いられます。特にこのJailBreakMeの場合、2つの異なった脆弱性を利用して任意のコードを実行することも、トレンドマイクロでは確認しています。「TROJ_PIDIEF.HLA」として検出されるこのツールにより、感染した端末に対して不正リモートユーザが遠隔で不正コントロールできるようになります。サイバー犯罪たちは、同様の手口を行使できる不正プログラムを絶えずiOS搭載に端末に送り込んでいるようであり、十分な注意が必要です。なお、該当の2つの脆弱性に関しては、修正パッチが既にApple側からリリースされています。

「Android Market」がサイバー犯罪者に最も狙われやすいアプリストアである理由は何でしょうか?

「Android Market (訳注:2012年3月7日により「Google Play」に統合)」が脅威にさらされやすい主な理由は、誰もがディベロッパーとして参加しやすい状況や自作のアプリを自由に配布できるオープン性にあるといえます。つまり、サイバー犯罪たちも、ディベロッパーとして登録し、自作の不正アプリをアップロードしたり、あるいは、Android Marketから正規のアプリをダウンロードして不正コードを組み込んだ上で再アップロードしたりといった不正活動を行えることが、最も狙われやすいアプリストアである理由となります。

むろん、Google側もオープンソース化されたAndroid OSの開発や更新を継続して行なっていますが、Android Marketのセキュリティとなると、また別の取り組み方が必要になります。こちらのセキュリティは、主にこのアプリストアに参加するディベロッパーやユーザたちに依存しているからです。彼らがいかに適切に不正なアプリやトロイの木馬化されたアプリの存在を監視できるかで、このアプリストアのセキュリティが大きく左右されるといえます。

モバイル端末が脅威にさらされるのを防ぐためには、ユーザ側ではどのような取り組みが有効ですか?

ご使用のモバイル端末に搭載されているセキュリティ機能を最大限に活用すること。スマートフォンの位置情報やセキュリティ機能を正しく設定した上で、さらに暗証番号やパスワードの利用も有効です。指紋認証機能が搭載された端末の場合、ぜひこの機能も利用すべきです。これにより、本人以外の端末使用を確実に防ぐことができます。

アプリのダウンロードの際には十分に注意すること。特に「Android Market (訳注:2012年3月7日により「Google Play」に統合)」のような公式アプリストアのみからのダウンロードをお勧めします。むろん、Android Marketからダウンロードしたとしても100%安全とは言い切れませんが、セキュリティの観点からは、他の非公式・サードパーティのアプリストアからダウンロードするよりはずっと安全であることは確かです。

インストールの際にリクエストされる許可項目をしっかりチェックすること。トレンドマイクロがこれまでに解析した不正なアプリやトロイの木馬化したアプリによると、こうしたアプリは、インストールの際、端末内情報のアクセスに関する許可項目のリクエスト数が不必要に多いケースがありました。この場合、そのままインストールしてしまうと、いわゆるバックドア機能を備えたアプリにさせてしまう可能性があり、こうしたケースに伴う端末内の個人情報漏えいには十分な注意が必要です。「許可項目に関連した対処法」に関しては、「When Android Apps Want More Than They Need」(英語版のみ)などのEガイドもご参照ください。

ご使用のモバイル端末は“小さなコンピュータ”だと考えて扱うこと。今日、スマートフォンは、その多彩な機能性からコンピュータとほとんど同じであり、インターネット閲覧の際も複数の処理を同時にこなすことができます。その意味では、脅威の点でもコンピュータと同じ危険性にさらされているといえます。スマートフォンでインターネット閲覧活動をする際は、その点を考慮した上で十分に注意する必要があります。

モバイルセキュリティに関して効果的な専用アプリを導入すること。サイバー犯罪たちは、現状のセクションの弱点を突くことにかけては非常に狡猾です。セキュリティ専用アプリをインストールすることでそうした弱点を常に補っておくことも不可欠です。

トレンドマイクロ製品は、今回のようなモバイル関連の脅威を防ぐことができますか?

モバイル端末(特にAndroid端末のスマートフォン)をご使用のユーザは、「ウイルスバスター モバイル for Android」により今回のような脅威を防ぐことができます。

トレンドマイクロの専門家からのコメント:

アプリが人気を博している大きな理由は、やはりその使いやすさにあります。モバイル端末を介してのインターネット閲覧活動は、通常のノート型コンピュータを介した場合とは、また異なった使用感があります。ほとんどの場合、アプリは、そのアプリの目的に即した特定サイト閲覧に関する調整等が、許可項目のリクエストというかたちで行われます。そうした中、鍵となるのは「そのアプリがどの程度までモバイル端末内データにアクセスしてしまうのか」という点をしっかりと把握することです。「このゲームアプリは、自分のソーシャルネットワーキングサイト(SNS)のログイン情報にアクセスする必要など果たしてあるのか?」・「これによってSNS内の友達をゲーム仲間として呼び込むのだというが本当だろうか?」 - アプリによる個人情報の必要以上なアクセス許可依頼において少しでも疑問が生じた場合、賢明な方法は、そのアプリを決してインストールしないということです。 
- シニア・セキュリティ・スレット・リサーチャー Robert McArdle

誰しも自分が使用しているモバイル端末にアプリをインストールする際には心配がつきものです。スマートフォン等のモバイル端末には、大事なデータが保存されているからです。どの程度のセキュリティ対策を行うにしても、そうした中、誰しもが必ず注意すべき最善策は、どういった種類の情報がアプリを介して収集されるかのかをまずしっかりと把握することです。 
- スレット・リサーチ・マネージャー Jamz Yaneza