【セキュリティ魂】あなたの携帯電話を盗聴器にかえるウイルス

　エフ・セキュアセキュリティ研究所、セキュリティレスポンスマネージャーのパトリック・ルノー氏の来日に伴い、モバイルマルウェアについてお話を伺う機会を得ることができた。現在のモバイルマルウェアは基本的なものが多いが、今後は深刻な影響を引き起こすマルウェアが大量に発生する可能性が高く、iPhoneやandroidがそのきっかけになるという。

●マルウェアの普及はマーケットによって変わる
　エフ・セキュアセキュリティ研究所、セキュリティレスポンスマネージャーのパトリック・ルノー氏の来日に伴い、お話を伺う機会を得た。同氏は、全世界のウイルス拡散活動を監視する「F-Secureグローバルウィルス統計システム」の開発から運用を行っているほか、同社初の自動ウィルス定義ファイルアップデートシステムを構築している。今回は同氏に、モバイルマルウェアの現状と今後について伺うことができた。

　同氏によると、携帯電話を感染の対象とするモバイルマルウェアは、これまでに401種類が確認されている。そして、このうちの390種類がシンビアン製の「シリーズ60」をターゲットとしたものである。この理由について同氏は「マルウェアの普及はマーケットによって変わります。マルウェアの作成者にとって、ユーザ数が多い機種をターゲットとすることがもっとも効果的なのです。」という。しかしこれらのマルウェアは、まだまだ初歩的なものばかりだという。

　ここ数年では「Cabir」と「Commwarrior」の2種類のウイルスによる大規模な感染が発生したが、どちらも携帯電話をクラッシュさせるようなものではなかった。「Cabir」はBluetooth接続により感染を拡大していくため、せいぜい周囲15メートル程度の範囲にある携帯電話にしか感染できない。また「Commwarrior」は、Bluetooth接続だけでなくMMS（Mobile Messaging Service）も利用して感染を拡大するため感染被害は広範囲にわたったが、やはり破壊的な動作を行うものではなかった。

　それよりも、携帯電話をターゲットとするトロイの木馬が広がっており、携帯電話をクラッシュさせるものもあるため危険度が高いと指摘する。クラッシュさせる対象はテキストや画像、アプリケーション、カメラ、メールボックス、アドレス帳など広範に及び、修理が必要になることも少なくない。また、パスワード上に入り込んでメモリーカードにアクセスできなくなった例もあるという。

モバイルマルウェアのタイプ
ウイルス(15%)
トロイの木馬(78%)
スパイウェア(5%)
その他(2%)

　しかし同氏は「それでも、これらはPCをターゲットとするマルウェアが10〜15年前に行っていた手法と同じといえます。現在のPC向けマルウェアは利益を得ようとし、ユーザに気づかれないように動作します。現状の携帯電話向けマルウェアは感染するとすぐにユーザが気づくものばかりであり、動機も異なり、10代の子供が楽しんでやっているような状況です。」という。

●現在もっとも危険なモバイルマルウェアは「スパイウェア」

　同氏は、現状でもっとも危険と思われるモバイルマルウェアは「スパイウェア」だという。携帯電話をターゲットとするスパイウェアは、テキストメッセージのコピーや発信者の追跡、メールの盗難、GPSにより所在場所を突き止める、遠隔地から携帯電話の電源を操作するなど、携帯電話上のすべてのことをスパイすることが可能であるためだ。スパイウェアは、感染したことをユーザに気づかせることなく、携帯電話で起きているすべてのことを特定のサイトに送信する。

　ここで、実際にスパイウェアに感染した携帯電話の実演を行った。同氏が取り出したシンビアン3060という機種は、ユーザにはまったくわからないが「Flexy SPY」というスパイウェアに感染している。ほかの電話からこの電話に電話をかけることで感染電話機は自動的に発信に応え、周囲の音声を伝える。たとえば会社の重役の携帯電話を感染させれば、重要な会議の音声をモニタできるわけだ。

実際にスパイウェアに感染した携帯電話の実演

　シンビアンは多発するマルウェア対策のため、ファイルフォーマットを変更した「3rd Edition」を開発し、セキュリティを強化している。具体的には、シンビアンが承認していないアプリケーションは実行できないという「Sign」という機能が搭載された。しかし、シンビアン3060は、「3rd Edition」を搭載しているにもかかわらず、スパイウェアに感染した。

　このからくりについて、「『Flexy SPY』は、タイのバンコクにある会社が制作したアプリケーションですが、シンビアンには携帯電話用のバックアップツール『Mobile BackUp』として申請し、『Sign』を承認させています。実際にバックアップツールとしても使えますが、その裏で『Flexy SPY』をインストールするのです。」と説明する。

「このアプリケーションはWindows MobileやBlackberry上でも動作します。特にBlackberryはモバイルメールに対応していることから米国やカナダの大企業でも多く導入されています。これは企業にとって大きなセキュリティリスクになるでしょう。」と警告する。

●モバイルマルウェアが大量発生する条件は整っている
　現在のところ、携帯電話のアプリケーションはユーザがインストールを行わないと実行することはできない。前述の401種類のモバイルマルウェアも、自動的にインストールされるものはひとつもなく、ここがPC向けマルウェアとの大きな違いだ。しかしなぜユーザはマルウェアのインストールを実行してしまうのか、同氏はもうひとつの実演を行った。

　Bluetoothなどによってマルウェアが携帯電話に入り込むと、インストールに対する警告が表示される。しかし、ユーザがいくら「No」をクリックしても携帯電話は反応せず、ほかの操作も一切受け付けなくなってしまう。唯一、反応するボタンは「Yes」のみであり、ユーザはやむを得ず「Yes」をクリックしてしまう。「このように、携帯電話でマルウェアを動くようにした大きな過失は、マルウェアを受け取った際のユーザインタフェースの仕組みにあります。」と同氏はいう。

「この問題について、ノキアはインタフェースの修正を行い、「No」ボタンが有効になるようにしました。これはOSメーカーが耳を傾けているいい例だといえます。2006年に急激に増えたモバイルマルウェアは、2007年には1件のみでした。2008年もこのままいけばいいのですが、楽観はできません。現在は『利用ユーザが多い』『豊富な機能を搭載している』『3GやWi-Fiなど接続性が高まっている』という、マルウェアが大量発生する条件が整っています。」

ノキアはインタフェースの修正

　さらにアウトブレイクを促す要素が、iPhoneおよびandroidの登場だ。すでに世界的に発売されているiPhoneは、使い勝手がよく多くのオンラインコンテンツを利用できるため、利用ユーザが急激に増えている。OSが普及するほど悪意ある人達が興味を持つことは前述の通りです。また、これまでの携帯電話用OSはクローズされており、ハッキングしないと悪用できなかった。しかしAppleはiPhoneのSDKを公開した。

　iPhoneのOSはMac OS Xがベースとなっている。言い換えれば、PC用のOSを携帯電話で動作するようにカスタマイズしたものだ。一方、シンビアンやWindows Mobileは、もともと携帯電話用に開発されており、この違いは悪意のある攻撃者にとって決定的な違いとなる。MacOSには、すでに多くの脆弱性が確認されており、これを悪用して攻撃することが可能だ。また、Linuxベースのandroidにも同様のことがいえる。OSがオープンソースである上に、やはりSDKも公開されている。

「今後は、PC向けのマルウェアを転用できるiPhoneやandroidをターゲットとするマルウェアが間違いなく出てくるでしょう。モバイルボットネットも同様です。これにはユーザだけでなく携帯電話メーカーも危機意識を持つべきだと思います。」という。日本での状況について聞いてみると「日本の携帯電話市場では、使用されているOSがまだ注目されていません。また、日本の携帯電話はアプリケーションのインストールについて非常に厳格です。しかし、日本でもiPhoneやandroidを導入する動きがあるので、今後は注意する必要があります。」と警鐘を鳴らした。

執筆：吉澤亨史

関連記事
・ウイルス作成が趣味から仕事に変わった− F-Secure 研究所長 ミッコ・ヒッポネン氏インタビューその1
・ウイルス作成が趣味から仕事に変わった− F-Secure 研究所長 ミッコ・ヒッポネン氏インタビューその2

関連リンク
・日本エフ・セキュア

■こちらもオススメ！【セキュリティ魂】
・21世紀のサイバー冷戦勃発！中国のサイバー軍事活動が活発化
・日本の企業ドメインも売買！盗まれたFTP情報 闇取引の実態
・もはや海外では当たり前！携帯電話のウイルス対策とは？
・ハッカーショーをテレビ番組が放映「盗難してくれてありがとう」
・Wiiクラッキング　コンセプト実証ながら話題沸騰
・【セキュリティ魂】バックナンバー

実際にスパイウェアに感染した携帯電話の実演

ノキアはインタフェースの修正