スマホを狙った攻撃は、愉快犯から、ユーザーの情報の取得や金銭を騙し取るものへと変わりつつある――。
トレンドマイクロは2011年11月8日、KDDIと共同で、スマートフォンセキュリティに関するセミナーを開催した。トレンドマイクロの内田大介シニアスペシャリストは、通話の盗聴とワンクリック詐欺の例を挙げながら、スマートフォン利用における脅威の実情を説明。安全に利用するために必要な対策について語った。
 |
| トレンドマイクロ コーポレートマーケティング部 コアテク・スレットマーケティング部 シニアスペシャリストの内田大介氏 |
従来の携帯電話に比べてスマートフォンは、悪意ある攻撃者からの標的になりやすい。その理由はいくつかあるが、(1)PC同様のフルブラウザでインターネットが使えること、(2)ユーザーが世界規模で共通するプラットフォームを利用していること、の2つが最も大きな要因だ。
PC向けのコンピュータウィルスが初めて確認されたのは1986年。当初の目的は、ユーザーを驚かせたり困らせたりといった“愉快犯”に過ぎないものだったが、徐々に攻撃者の目的は金銭や情報の取得へと変化した。さらに、「攻撃者の標的はスマートフォンに移ってきている」(内田氏)。スマートフォンへの攻撃は現在、まだ愉快犯的な攻撃が主だが、最近では、金銭・情報目的のウィルスや不正サイトの例が出てきている。
実例として挙げられたのはまず、通話を盗聴する不正アプリだ。感染したスマートフォンで通話すると、日時や通話先等の情報とともに、会話がそのまま音声ファイルとして端末内のSDカードに保存される。それが外部に送信され、盗聴者にわたる仕組みだ(下図)。ストーカーが標的の日常を監視したり、あるいは仕事上の通話を盗聴して機密情報を聞き出す産業スパイ的な用途に使われる可能性も十分にある。中国では、このような仕組みを用いた「監視サービス」を提供している業者もあるという。
 |
| スマートフォンの通話を盗聴する仕組みの例 |
もう1つの例は、ワンクリック詐欺だ。Web上の動画サイトなどで、「入場」「年齢制限」などをクリックしただけで登録された旨を通知し費用を請求するもの。従来からPCサイトで被害が増えていたが、これもスマートフォンを狙ったワンクリック詐欺サイトが出てきている。下は、その実例だ。
 |
| スマートフォンを狙ったワンクリック詐欺サイトも増加傾向にあるという |
こうした攻撃を防ぎ、スマートフォンを安全に使うにはどうすればいいのか。内田氏は「セキュリティ5か条」として、次の点を指摘した。
(1)セキュリティソフトやサービスを利用し、不正アプリや不正Webサイト対策を行う
(2)OS/アプリを最新の状態で使用する
(3)端末に登録したアカウントを管理する
(4)端末のパスワードロックを行う
(5)紛失時に適切な対処を行う
 |
 |
 |
| スマートフォンを安全に使うための「セキュリティ5か条」 (クリックして拡大) | ||
いずれも、スマートフォンはフィーチャーフォンに比べて攻撃者の標的になりやすく、適切な対策が必要なことを認識したうえで利用者が気を付けることが前提。だが、特に(1)については、手口が巧妙化していることもあり、一般のユーザーには、どのアプリやサイトが不正か否かは見極めが付き難い。この点をサポートするため、トレンドマイクロではKDDIのスマートフォン向けに「ウイルスバスター モバイル for au」の提供などを行なっている。すでにPCではウィルス対策やWebフィルタリングは必須となっているが、スマートフォンでも遠くない将来、同様の自衛策が必須となるかもしれない。
