Post Reply 
 
Thread Rating:
  • 0 Votes - 0 Average
  • 1
  • 2
  • 3
  • 4
  • 5
スマートフォンに関するセキュリティ講座  第1回 ~スマートフォンのセキュリティの基礎知識と個人利用について~
04-18-2012, 05:40 PM (This post was last modified: 04-18-2012 05:47 PM by Hiroyuki.)
Post: #1
スマートフォンに関するセキュリティ講座  第1回 ~スマートフォンのセキュリティの基礎知識と個人利用について~
スマートフォンに関してですが、筆者は俗に言う携帯端末ギークじゃないかなって最近思います。
いつも、iPhone、Android、Windows Mobileの3台のスマートフォン+フィーチャーフォンを持ち歩いてて、
「何でそんなに携帯色々持ってるの? 1台で良くない?」とか聞かれます。
「まぁ、それぞれ使い分けもあるし、用途も違うんだよ」と話しても周りからは理解されません・・・


そんな私が、ちょっとスマートフォンに関するセキュリティについて数回に分けて書いてみます。


まず第1回の今回はスマートフォンのセキュリティの基礎知識と個人利用において...
  • スマートフォンとは・・・
  • スマートフォンにウイルス!?
  • マルウェアアプリから個人情報が流出したというニュースが・・・
  • 便利なアプリが使いたいので、Jailbreakやroot化してみた!?
  • じゃぁ、私はスマートフォンとどう付き合っていけばいいの?
について語っていこうと思います。



・スマートフォンとは・・・

「ところで、スマホってなんだろうね??」

ここ数年よく、「iPhoneはスマホではなくiPhoneだ!」とか、「Androidはauからしか出ていない!」とか
「スマホは2010年に初めて出たんだよ!」とか「スマホはSBでauはスマフォンなんだよ!」とか、
「docomoからはスマホは出ててないんだ!」・・・等々、上げればキリがないですが、そんな話を聞きました。

その時は苦笑いしたりもしましたが、この記事を読まれてる皆様は当然ご存知だと思います。

スマートフォンとは、携帯電話に昔で言うところの携帯情報端末(PDA)の機能が統合され、
単純に高機能というだけでなく、汎用のOSを搭載し、利用者が後からソフトウェアなどを追加できる端末の事を指します。

それでは、スマートフォン向けのOSの一例を上げてみましょう
  • Android
  • iOS 【iPhone, iPad, iPod touch】
  • Windows Phone(旧Windows Mobile)
  • Symbian OS
  • BlackBerry OS
有名な所だと、上記5つが挙げられます。

この区分で分けるとスマホって言葉は当時は無かったかもですが、
Nokiaさんの Nokia Communicator や日本では京セラさんの DataScope 等、前世紀からこういった端末はありました

筆者が使っていた端末で言えば、2005年頃買った Symbian OS が搭載されているdocomoさんの FOMA M1000 もスマートフォンですし
(iPhoneを使い出してからは持ち歩いてないですが・・・まだ使える状態で眠ってます。)

同じ頃に購入した Windows Mobile 5.0 for PocketPC が搭載されていたウィルコムさんの W-ZERO3 もスマートフォンです。


また、初代XperiaはAndroid採用をしていなかったのです!
docomoさんから発売されたXperiaはXperia X10で、その前のモデルも日本では未発売ですが、
XPERIA X1はWindows Mobile 6.1、XPERIA X2はWindows Mobile 6.5.x、Xperia PurenessはA200 Platformと
最初の頃はXperiaもAndroid OSを使っていませんでした。


スマートフォンっていうのはここ1~2年で出来たものではなく、結構昔からあったのですね。


・スマートフォンにウイルス!?
さて、最近これだけスマートフォンが有名になってきてよく聞く、「スマートフォンのウイルス対策は大丈夫?」って言葉ですが・・・


そもそも、コンピュータウイルスってなんでしょうね?

ウイルスもはプログラムの一種ですが、どのようなものがウイルスと定義されているのでしょうか?
「コンピュータウイルス」という言葉が最初に使われたのは1983年のことで、カリフォルニア大学のフレッド・コーヘン氏によるものでした。
そのときにコーヘン氏が定義したのがこの様な言葉になります。
Quote:「他のプログラムを書き換えることによって感染し、自己を複製する能力をもつプログラム」
他のプログラムに自分を寄生するかたちで感染していき、ウイルスのコピーを次々に別のパソコンに広げていってしまうプログラムをウイルスといいます。

コンピュータウイルスが実際のウイルスと挙動がよく似ていることからコンピューターウイルスと名づけられました。

さて、日本においてはIPA( Information-technology Promotion Agency, Japan.:独立行政法人 情報処理推進機構)が基準を定め、経済産業省のポリシー掲示 では以下のようになっています。
Quote:(1) コンピュータウイルス(以下「ウイルス」とする。)
第三者のプログラムやデータべースに対して意図的に何らかの被害を及ぼすように作られたプログラムであり、 次の機能を一つ以上有するもの。
(1)自己伝染機能
 自らの機能によって他のプログラムに自らをコピーし又はシステム機能を利用して自らを他のシステムにコピーすることにより、 他のシステムに伝染する機能
(2)潜伏機能
 発病するための特定時刻、一定時間、処理回数等の条件を記憶させて、発病するまで症状を出さない機能
(3)発病機能
 プログラム、データ等のファイルの破壊を行ったり、設計者の意図しない動作をする等の機能
IPAの基準に則ると、日本においては3だけの機能を持った悪意のあるアプリケーションでもウイルスと呼ぶことが出来ます。


実態としては、海外の報道ではマルウェア(悪意のあるアプリケーション)等と報道されているものが、日本ではウイルスと報道されたりしています。
アンチウイルスソフトウェアメーカー各社の分類では、やはりここは明確に分かれており、感染潜伏発病全てを満たしているもののみウイルスソフトとして分類しているようです。

「マルウェア」はMALWAREMALicious softWARE の略称であり、日本語の「不正プログラム」に対応する英語の表現です。

さて、マルウェアにはいくつかの分類があり代表的なものに以下のようなものがあります。

ウイルス :自己増殖を行い、自身のウイルスコードのコピーを他のプログラムファイルに寄生させてコントロールを奪います。
ワーム :自己増殖を行い、ファイル単位で自身のコピーを作成します。
トロイの木馬 :自己増殖を行わず、不正プログラムの総称です。
スパイウェア : 個人情報の漏洩を行うものを言います。
ボット : 外部からの指令により不正操作を行うものをいいます。

☆この講座では、業界(世界)の標準にしたがって、
ウイルスウイルス以外のマルウェアは分けて説明していきます。


さて、ここまででマルウェア(悪意のあるアプリケーション)について説明しましたが、本題のスマートフォンにウイルスは居るのか?

従来のスマートフォンOSにはウイルスの報告もありましたが、最近流行で利用者の多いAndroid、iOS 、Windows Phoneはどうなのかというところに関しては、ウイルス対策ソフトベンダー各社には2012年3月現在までにウイルスの報告は無いようです。

なぜ?と思うかもしれませんが、それはアプリケーションの安全性を考えられた仕組みにあります。

従来のスマートフォンOSやPCのアプリケーション仕組みと比べてみましょう。



ユーザが使う各種「アプリ」と、その背後で動く様々な「サービス」、そしてその全体を管理する「OS」があります。
これらはすべて相互に通信していて、様々な機能を提供してくれます。

ウィルスというのは、この「アプリ」「サービス」「OS」のいずれかに混入して悪さを行います。
皆さんもパソコンにはいつどこからウィルスが入るかもわからないので、ウィルス対策ソフトなどを導入してシステム全体をチェックしていますよね?


一方、新しいスマートフォン用OSではサンドボックスモデルを利用し、各アプリのアクセス可能な部分を分離することにより、
OSなどとの限定的なやりとりしか許していません。

ですので、ウイルスワームなどを作成したとしてもそのアプリケーション領域を超えてのアクセスができなくなっています
このように、サンドボックス化が徹底されていればウィルスもセキュリティソフトも必要がありません。

しかし実際には共有アクセスできる領域がありますので、PCと同様にすべてのマルウェアを防ぐことは出来ません。


・iPhoneのサンドボックス化

iPhoneでは写真や連絡先などはすべてのアプリで共有されています。
こうした共有データは、マルウェアからも参照できますので、全くセキュリティ的にリスクがないわけではありません。

アプリ間の連携もある程度は許されています。
例えば、オンラインストレージでダウンロードしたファイルを、別のアプリで開くためにiPhoneでは、
「ユーザが指定した場合」に限って、あるアプリが持っているデータを他のアプリに渡す手段が用意されています。

とはいえ、iPhoneのサンドボックス化は厳しく設定されており、悪意のあるアプリが他のアプリの情報を奪うことは難しくなっています。

逆に、セキュリティソフトがウィルスを探すようなことも許されていないし、仮に何かしらのセキュリティソフトを入れたとしても、
ユーザが自分でそれを起動しない限りは自動的にスキャンするなどということは出来ません。
iPhoneにウィルス対策ソフトがないのには、こうした理由があります。



・Androidのサンドボックス化

Androidでは、iPhoneと比べるとアプリ間の連携が簡単に出来るようになっています。

例えば、iPhoneのOS標準のブラウザでリンクからURLを開く場合、OS標準のブラウザでそのURLを開きます。
PDF等のファイルもブラウザで開きます。他のアプリがブラウザの動きに対して関与できません。
iPhoneのサンドボックス化で説明したように、ユーザーがそのURL(URLに含まれるファイル等)を開くアプリを
指定することにより、他のアプリにURLやファイルのデータを引き渡すことは出来ます。

しかし、Androidの場合、ユーザがURLを開こうとすると、別のアプリがその情報を取得することが出来ます。
特定のURLやファイルをブラウザで開こうとすると、別のアプリが起動するという事ができます。

このようなAndroidの動作は、<ユーザが、意図している>動作であればiPhoneよりも便利な事ですが、
逆に<悪意をもったアプリが情報を奪うことができる>という意味でもあります。

iPhoneではユーザが指定しない限りはアプリが起動することもないですが、
Androidではアプリをインストールしただけでシステムの動きが変わって、ユーザの意図していない動作をする可能性があります。

逆に、Androidでセキュリティソフトが実現できるのは、Androidがそうした情報をアプリに提供しているからでもあります。
ユーザがスマートフォンを使っている裏で、その挙動をチェックするようなアプリをAndroidでなら作ることが出来ます。


・マルウェアアプリから個人情報が流出したというニュースが・・・

さて、先日「スマートフォン 100万件個人情報流出」といったニュースが報道されました。

ここで言われているスマートフォンとは、Android端末になります。

人気ゲームを動画で紹介するスマートフォンの複数のアプリが、利用者の電話帳に登録されていた名前やメールアドレス、
電話番号などの個人情報を勝手に外部に送信していたことが、セキュリティー会社の調査で分かりました。

このアプリはGooglePlayに登録されており、2012年4月13日には削除されましたが、分かっているだけで16種類のアプリがあります。

GooglePlayのダウンロード数によると、これまでにこのアプリをインストールした人はおよそ6万6千人から最大で27万人余りに上るということで、セキュリティー会社では、場合によっては延べ数十万人から数百万人の大量の個人情報が流出した可能性があるとみられています。

この話を聞いて「自分はそれらのアプリを入れてないので問題ない!」と感じる方がいらっしゃると思いますが
これらのアプリは電話帳を参照しているため、自分の情報が他人の端末に登録されている場合
自分の個人情報が流出してしまっている可能性があります。又、複数人の電話帳を電話番号で寄せることにより
確度の高い名前・漢字・読み方・住所・生年月日・住所・勤務先等が得られる
こととなり、今大きな話題となっています。

このアプリをダウンロードした各自の電話帳に平均50人の情報があるとすれば333万~1357万5000人ぐらいの
個人情報が集められたのではないかと推測できます。

今回のアプリからの電話帳からの個人情報取得ですがAndroidでもiOSでも技術的には可能となります。
ただ、アプリの配信の仕組みがAndroidとiOSでは違うために、Androidの方が問題が起こりやすくこの様な事が起こりました。

iOSでは開発者がApp Storeに登録・公開するまでに審査担当者がAppleiOSアプリ審査ガイドライン「App Store Review Guidelines 」に則りソースコードレベルで厳格に審査します。

よって、自分の作成したアプリを登録後、公開されるまで2週間程度かかります。
ユーザーとしてはバグなどが発生している場合に開発者からアップルの審査が通るまで2週間程度お待ち下さいといったメッセージをApp Storeで見ていらいらすることがありますが安全性を考えると仕方のないことも言えます。

ですので、悪意のあるアプリは基本的にはApp Storeには公開されません。
人が行う作業なので、稀に審査漏れもありますが・・・、基本的にはApp Storeの厳正さは保たれていると考えていいでしょう。


一方、Androidでは開発者が比較的簡単にアプリをGooglePlayに登録・公開することができます。
自分の作成したアプリを登録後、数十分から数時間程度で公開されます。
ですので、悪意のあるアプリであってもGooglePlayに公開出来るため、マルウェアが相当数GooglePlay上に存在します。

2010年まではGooglePlayへの登録は無審査で登録が可能でしたが、従来からこの問題点を指摘されていたため、
2011年後半よりBouncerと呼ばれるマルウエア検知システムを使ってアプリを自動検査しています。
ただ、必要最低限度の審査のみということで、今回はBouncerをすり抜けてしまったようです。


更に、アプリの流通経路ですが、原則的にiOSではApp Store以外の経路からのアプリのインストールを行えません
(エンタープライズ用途では iOS Developer Enterprise Program で社内専用などに登録した端末などに配布する仕組みがあります。)

Androidでは、GooglePlay以外にアプリケーションを直接インストールする仕組みを持っています
また、Google以外のMarketも存在しており、そこからのインストールも行えます。
(デフォルトではGooglePlay以外からアプリのインストールは行えない設定になっていますが、設定から簡単に変更できます。)


なぜ、この様になっているかというと考え方がiOSとAndroidでは違うためです。
  • iOSではAppleの管理のもと、Appleの指定した方法でスマートフォンやアプリを利用してもらう。
  • Androidではスマートフォン技術の発展とAndroidの普及のため、より多くの開発者自由に開発を行い技術やノウハウを蓄積し最終的には質の悪いものが淘汰され良い物だけが残る過渡期であり、ユーザにはリテラシーを身に着けて頂き、アプリの利用に関してはユーザの自己責任で行なってもらう。
ものと筆者は考えます。
WindwosPhoneもVer7から従来のGoogleと同じ方式から、Appleと同じ方式に転換しました。

よって、どちらの考え方も自由・利便性・安全性に対する考え方の観点が違い、一概にiOSがよくてAndroidが悪いとは言えません。



・便利なアプリが使いたいので、Jailbreakやroot化してみた!?

Jailbreak(脱獄)やroot化という言葉を聞いたことはあるでしょうか?

たとえば、「iPhoneではFlashが見えないけどJailbreakするとFlashが見れるように出来るらしい」とか、
「私のAndroid端末は単体でスクリーンショットが取れないので、root化すると簡単にスクリーンショットが撮れるみたい」
などと言う言葉を聞いたことはありますか?

また、GooglePlay上にroot化端末向けのアプリも公開されているため、root化に興味をもった人もいるでしょう。
(GooglePlay上に特定のアプリをインストールすると、root化迄自動で行なってくれるアプリもあったようです。)

便利さについて解説しているサイトは山ほどありますが、そのリスクについて解説しているサイトは少ないかもしれません。

よく聞くことの一つに、「メーカー保証がなくなります。」とかいてありますが、
筆者としては、メーカー保証だけで言うと
「自己責任でやっていることなのでメーカー保証なんて要らないよ!
そもそも、メーカー保証に頼らなくてもハードウェア的に壊れたとしても自分で直せるし!」

とか言ってしまいますが、そんな人はあまり居ないでしょうね。


ただ、「メーカー保証」よりも重大で自己責任の範囲では済まされない事がJailbreakやroot化によって起きてしまう可能性があります。
これらを行うと、管理者権限で端末内の全てのデータやカーネルにアクセスすることが出来るようになり、
サンドボックスモデルで保護されていた部分が崩壊します。

また、iOS端末ではApp Store以外の経路からアプリのインストールが行えます。
ですので、マルウェアが入る経路が出来てしまったり、技術的にはウイルスも作成・実行できます。
通常iOS端末はデフォルトのパスワードが固定であり、リモート接続のモジュールも他のアプリを導入時に同時に入ってしまう可能性があります。
その状態ですと、リモートで携帯電話会社のIP範囲を常にアタックしているプログラムにより侵入されてしまうこともあります。

Android端末でも同様で、Android端末ではroot化されていない端末では便利なアプリとして振舞うが、
root化されている端末では、裏で全く違う振る舞いを行うといったことが出来てしまいます。

ですので、ちょっと便利になるといった安易な理由でJailbreakやroot化を行うと、その代償は大変なことになる可能性があるためお勧めはしません。

とある方から聞いたのですが、Android端末でスクリーンショットを撮りたいということを携帯キャリアのショップ店員に話した所、
「この端末では出来ません。 ただ、root化して、スクリーンショット取得アプリ入れちゃえば・・・」
という話が、キャリアのショップ店員から出てきたという話を聞いた時はさすがに驚きました。



・じゃぁ、私はスマートフォンとどう付き合っていけばいいの?

個人利用の場合では以下のような使いかたがひとつの例となります。
これまでの説明に出て来なかったものは次回以降詳細を説明する予定です。

iPhoneの場合
  • Jailbreakはしない。
  • アプリのインストールを行う場合は、説明及びレビューをよく読む。レビュアーの人の反応をみる。
  • OSのアップデート通知は他の人の反応を見て大きな問題が起きていないことを確認してから、なるべく早く行う。
  • よく使う自分にとって重要なアプリのアップデートは自動で行わない。 少なくとも数日たってから同じアプリを使用している人の反応を見て、アップデートする。
   (iPhoneのアプリは重大なバグの対応をすぐにおこなっても、公開までの審査に時間がかかります。
    ですので、自分にとって重要な機能のアプリはアップデート通知と同時に自動更新させず、他の人の反応を見て問題がないことを確認してから手動でアップデートする。)
  • アプリのアップデート内容を確認する。
   (でも、BugFixとしか書いてない人が多くて困ります・・・。)
  • 自動ロックを設定する。(4桁の数字ではなく複雑なパスワード推奨)
Androidの場合
  • root化はしない。
  • マルウェア対策ソフトを導入する。
  • 信頼出来きる提供元以外からのアプリをインストールしない
  (筆者はGooglePlayも疑ってかかっています。Androidデベロッパーが信頼出来るか、誰がビルドしたものかを基準としています。)
  •  アプリのインストールを行う場合は、アクセス許可、説明及びレビューをよく読む。レビュアーの反応をみる。
   オピニオン・リーダー等の口コミなどを確認しマルウェアの疑いがないか確認する。
  •  アプリのアップデート内容を確認する。アクセス許可の変更があった場合必ず確認する。
  •  インストールするアプリがroot化を自動で行うといった説明がないことを確認する。
  •  キャリアやメーカーからのOSアップデート情報を定期的に取得し、必要と認めた場合はインストールをする。
  •  使っていないアプリで、今後も使う予定のない物は削除する。(システムとしてバックグラウンドで動いていないか?)
  •  自動ロックを設定する。(パターンロック推奨)
  •  外部SDカードに重要なファイルを置かない
    (iPhone・Android共にストレージは暗号化はされていますが、Androidの外部SDカードはデフォルトで暗号化されていません。)

これが、必ずしも全てのケースにおいて正しいとはいえませんし、業務利用やエンタープライズ用途では異なりますので、次回以降業利用やエンタープライズ用途の回を参考にして下さい。


Android用マルウェア対策ソフトってどれがいいのかな?

Android端末には、まずはマルウェア対策ソフトを導入することをおすすめします。
但し、一言にマルウェア対策ソフトと言ってもGooglePlay上に有料・無料含めてかなりの数が登録されています。

そこで、気をつけて欲しいのがマルウェア対策ソフトを偽装したマルウェアがあります。
これを入れてしまっては、本末転倒となります。


また、マルウェア対策ソフトをインストールすることにより、動作が遅くなったりバッテリーの減りが早くなったりもします。
どれが良い、どれを入れたほうがいいというのはここでは明言しませんが、選び方の基準をお話しします。
  • まず、マルウェア対策ソフトを偽装したマルウェアに関してはそのアプリの提供元を確認する。
 そもそも、マルウェア対策に強い会社か?と言うことを確認した上で入れてもらえれば、マルウェア対策ソフトを偽装したマルウェアに引っかかる可能性はほぼ無いかと思われ​ます。
  • マルウェア対策ソフトの比較等を複数個確認してみる
 雑誌のマルウェア対策特集記事や、比較サイトなどもありますがやっぱり広告の関係で特定の製品の評価に偏りがあったりすることもあります。
  • 有料の製品が優れていて、無料の製品がダメということはありません。
 有料でもダメなものもありますし、無料のマルウェア対策ソフトでも高性能なものもあります。

 無料体験版が公開されている製品もあるので、まずは試用してバッテリの消費や動作が極端に遅くなっていないかを確認後、製品版を購入するのも良いと思います。

 対策済みのマルウェアの情報が公開されていて、更新頻度の高いものを選んで導入してみてください。

やはり、自分のスタイルに合わせて最適なマルウェア対策ソフト選んでもらうのが良いでしょう。



というわけで、今回はスマートフォンの個人利用について書いてみました。



さて次回は、
  • 「スマートフォンを紛失した!?どうしよぉ・・・」
  • 「スマートフォンのビジネス利用」
  • 「最近よく聞くMDMってなあに?」
について書いて行きたいと思います。


Attached File(s)
.png  new.png (Size: 9.8 KB / Downloads: 5419)
.png  PC.png (Size: 11.6 KB / Downloads: 5181)
Find all posts by this user
Quote this message in a reply
Post Reply 


Possibly Related Threads...
Thread: Author Replies: Views: Last Post
  スマートフォンに関するセキュリティ講座  第2回 ~スマートフォンを紛失!?、スマートフォンのビジネス利用~ Hiroyuki 0 25,469 04-25-2012 06:13 PM
Last Post: Hiroyuki
Forum Jump:


User(s) browsing this thread:
1 Guest(s)