最近のモバイル関連の脆弱性は、モバイル端末をとりまく脅威状況が拡大および進化していることを示しています。トレンドマイクロは、2013年8月中旬に公開した「2013年第2四半期セキュリティラウンドアップ」の中で、Android端末に巧妙な脆弱性が新たに2つ存在することを指摘しました。加えて、SIMカードおよび iPhoneに存在する脆弱性も、セキュリティ業界により問題視されています。こうした点から、改善された手法を用いてモバイル端末の脆弱性を利用するなど、サイバー犯罪者たちがより優れた方法を見出しつつあることは明らかです。 モバイル関連の脆弱性利用が表面化し続ける中、パッチ処理に関する問題も白熱し始めています。ソフトウェアベンダは、こうした問題に対して、短期間のパッチ処理など、脆弱性に関する情報開示方針を見直すことで対処しようとしていました。しかし、より大きな議論となっているのは、問題の修正およびパッチの公開にどの程度の時間がかかるかではなく、脆弱性がベンダや被害に遭うユーザたちにどのような形で開示されるかという点です。

モバイル端末に存在する脆弱性とは、どのようなものですか。

モバイル端末本体や搭載するオペレーティングシステム(OS)において確認されるセキュリティ上の欠陥のことです。こういった脆弱性により、モバイル端末は、マルウェアによる攻撃やエクスプロイトによる脅威にさらされる可能性があります。

「エクスプロイト」とは何ですか。

「エクスプロイト」とは、攻撃者によって細工が施されたコードであり、ソフトウェアや端末に存在する脆弱性を利用します。通常、マルウェアとして分類されます。エクスプロイトのコードが実行されると、脆弱性が存在する端末上に関連マルウェアが自身のコピーを作成して不正活動を行います。これにより、保存されている情報や端末が危険にさらされます。 また、エクスプロイトの中には、複数のコンポーネントを利用する攻撃の一部として利用される場合や、バックドア型マルウェアやスパイウェアをもたらす他のマルウェアを作成する場合もあります。

新たに登場したモバイル関連の脆弱性で注意すべきものは、どれでしょうか?

モバイル端末のユーザは、以下のような新たな脆弱性のバグに注意する必要があります。

  1. Android端末上に存在してする「マスターキー」となる脆弱性

    2013年7月にその存在が確認され、ほぼすべてのAndroid端末のカーネルに存在する最初の利用可能脆弱性です。

    問題の脆弱性が利用されると、インストールされているアプリの開発者による署名キーがなくとも、アプリの改変や更新が可能になります。そのため、攻撃者は、この脆弱性を悪用することでAndroid端末上で正規のアプリを不正なアプリへと置き換えたり、オンライン銀行に関連するアプリを不正に更新したりといった不正活動をすることが可能になります。

  2. マルウェア「OBAD」が利用する脆弱性

    バックドア型やルートキット型のマルウェアと同様、「OBAD」は、侵入したAndroid端末を完全制御するため、ルート権限および「端末管理者」としての権限を要求します。そして繰り返しポップアップメッセージを表示して、これらの権限を付与する許可をユーザに迫ります。また、検知や削除を困難にするため、難読化の手法が用いられています。

  3. SIMカードに存在する脆弱性

    この不具合は、ほとんどのSIMカードに採用されている旧来の暗号化システムに起因します。攻撃者は、この脆弱性を利用することで、モバイル端末にエラーを引き起こすことが可能になります。このエラーにより、単純な「SMS のメッセージ(以下、テキストメッセージ)」を介した56ビットのセキュリティキーが開示されます。このセキュリティキーは、不正なJavaアプレットをダウンロードさせる際に使用されます。そして不正なJavaアプレットは、さまざまな不正活動に活用され、例えば、テキストメッセージの拡散や、モバイル端末の位置情報の収集などの不正活動があげられます。

    この脆弱性はモバイル端末のOSに依存しないということを留意しておく必要があります。このため、さまざまな端末のあらゆるOSに影響を及ぼす可能性があります。

  4. i OS 6のセキュリティ上の欠陥で確認された不具合

    この欠陥は、Appleの端末もこの種の脅威に無関係でないことを示しています。偽の充電器を接続した際、この欠陥を利用すれば、iOS 6のプラットフォームを利用するiPhone または iPad への完全なアクセス付与が可能になることが、専門家たちにより明らかにされました。
ソフトウェアベンダは、発覚した脆弱性を修正するパッチを提供しますが、通常、脆弱性が発覚してからパッチが入手可能になるまでに一定の時間が必要です。サイバー犯罪者は、この空白時間に目をつけて、モバイル端末の脆弱性を利用します。

以下は、Androidのアップデートにおける現行プロセスです。ここでソフトウェアのアップデートやパッチの展開に遅延が生じていることから、パッチ処理の問題が現行プロセスに起因することが分かります。

図1:Androidの更新アップデートにおけるプロセス

パッチは、ユーザに届く前にまず、製造元やサービスプロバイダに提供され、そこで複数のプラットフォームや端末との互換性が施されます。

脆弱性利用からモバイル端末を守るためには、どのような対策が必要でしょうか。

モバイル端末に存在する脆弱性やバグは、ソフトウェアベンダから提供されるパッチや更新プログラムによって修正されます。そのためユーザは、これらが入手可能となったら、すぐに適用することを推奨します。

しかし、すべてのAndroid端末において最新のアップデートが施されているわけではありません。ほとんどの場合、これらアップデートのリリースは、無線通信事業者や携帯電話の製造元側の一存に委ねられているからです。製造元は、こういったアップデートを頻繁に行いません。そのため、もしご使用の端末がセキュリティのアップデートを受領できない場合、その端末は、「陳腐化された状態」と見なされます。そのような端末をも安全に使用するための最善策は、信頼のおけるセキュリティ対策ソフトをインストールすることです。脆弱性を修正することはきませんが、脆弱性利用の回避は可能です。

上述のような不具合を狙う脆弱性利用のブロックには、他にも主体的な対策があります。Android端末上に存在する「マスターキー」に対しては、ご使用の端末において、非公式のアプリ配布サイトからのアプリのインストールを無効化することです。Android端末の「システム設定」>「セキュリティにおける設定」を調整することで、「Google Play」以外からアプリをインストールする機能を無効化できます。

不正アプリの「OBAD」に対しては、トレンドマイクロ製品の「ウイルスバスター モバイル for Android」や「Trend Micro Mobile Security」が検出し、関連する脆弱性利用からユーザを守ります。またこの「OBAD」は、弊社アプリ「Hidden Device Admin Detector(英語版)」によって削除されます。

そしてSIMカードに存在する脆弱性に関しては、2つの対処法が有効となります。1つはテキストメッセージのフィルタリングを行い、身に覚えのない番号からの不審なテキストメッセージをすぐにブロックすること。もう1つは、使用する携帯電話のプロバイダに助けを求めることです。プロバイダの中には、不正なメッセージを検出するためにネットワーク内におけるテキストメッセージのフィルタリングを提供している場合があるため、問い合わせてみることも有効です。

使用している端末が脆弱性利用されているかは、どのように見分けることがきますか。

見分け方は、上述の脆弱性の中でどれが利用されたかにもよります。例えば、SIMカードに存在する脆弱性の場合、この脆弱性を積極的に利用するエクスプロイトはまだ確認されていません。一方、「マスターキー」と呼ばれる脆弱性の場合、この脆弱性利用により使用中の端末にトロイの木馬化されたオンライン銀行アプリ存在するかどうかは、そのアプリ自体のサイズから確認できます。トロイの木馬化されたアプリは、正規アプリより小さいサイズになっています。以下のスクリーンショットからも、挿入された “classes.dex” という不正ファイルが205キロバイトしかないことが分かります。

図2:挿入された不正ファイル “classes.dex” は、正規版より小さいファイルサイズとなっています

さらに、不正アプリの「OBAD」の場合は、その活発な動作特徴から確認できます。この不正アプリは、端末の再起動後、ポップアップメッセージを頻繁に表示します。このポップアップメッセージは、ユーザが端末内の「戻る」ボタンや「ホーム」ボタンを選択しても、同様に表示されます。

図3:端末管理者権限を有効化すると、この不正アプリを非表示で実行させることが可能になります

また、ご使用の端末のアプリケーション管理画面上で、Androidシステムアプリが混じった中から不正なアプリを見つけることも可能です。ただし、ここに表示された場合、端末の管理アプリであるため、アンインストールすることができません。

図4:問題の不正なアプリの情報

しかし、ご使用の端末が攻撃を受けやすい状態であるか、すでに感染しているか等を判断するのは、厄介な作業ではあります。この意味からも、モバイル端末を狙う脅威から身を守るためには、上記で推奨したセキュリティ対策を講じることが最良の策といえます。

トレンドマイクロ製品は、今回の脅威からユーザを守ることができますか。

もちろん、守ることができます。「ウイルスバスター モバイル for Android」および「Trend Micro Mobile Security」は、「OBAD」を検出・削除し、関連するエクスプロイトからユーザを守ります。さらに、弊社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」の機能の 1つであるモバイルアプリケーション評価技術「Trend Micro Mobile App Reputation」で、「マスターキー」となる脆弱性を突くアプリを検出対応しています。

トレンドマイクロの専門家からのコメント:

モバイル端末のユーザにとって、使用する端末を脅威から守る必要性は、いまだかつてなく重要なものとなり、今後さらにその深刻度が増すことは必須です。新たな脅威や感染箇所が登場しているだけでなく、すでに知られた脅威も、増加すると同時に改善も図られています。最近リリースされた「2013 年第2四半期セキュリティラウンドアップ」でも報じられたとおり、Android端末に影響を与える不正なアプリやハイリスクアプリの数は、71万8000にも達しており、この半年間で35万も増加したことになります。

今のところ、ユーザが採用できる最善策は、使用している端末内のソフトウェアを常に最新化することです。この対策は、セキュリティソフトをインストールして信用のおけるソースのみからダウンロードを行なう対策とも合わせて、脅威の攻撃によるリスクを最小限にする上で有効です。

- テクニカル・コミュニケーション・スペシャリスト:Gelo Abendan

関連マルウェア