開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 会員限定
  • 2013/09/12

iPhone/iPad/Android端末をビジネスで活用するための「多層防衛」の考え方

連載:サイバーセキュリティ最前線

iPhoneやiPadをはじめとするアップルのiOS搭載デバイスでは、利用するアプリケーションは原則としてApp Storeからインストールしなければなりません。App Storeでは、有償無償に関わらず、アプリケーションを登録するには厳しい審査が必要となっており、悪意のあるアプリケーションを登録しようとしても、排除されてしまうと言われています。しかし、米ジョージア工科大学の研究チームが、マルウェアの「パーツ」を仕込んだスマートフォン向けアプリケーションを作成し、App Storeの審査に通過し、公開することに成功したと発表しました。

NRIセキュアテクノロジーズ 上田 健吾

NRIセキュアテクノロジーズ 上田 健吾

セキュリティベンチャー起業後、慶應義塾大学大学院21世紀COE研究員(後期博士課程)を経て、2007年に野村総合研究所に入社。NRIセキュアテクノロジーズに出向し、銀行、生損保、クレジットカード業界をはじめ、数多くのセキュリティ関連プロジェクトに参加。CISSP、CISA、CISM、QSA、ASV、CAIS-Leadなど、セキュリティ系の資格を多数保有。IT雑誌、学会誌への寄稿や、ニュースへの出演経験、登壇経験も多数。業務を通して得られる最新の情報を展開。

連載一覧
 米ジョージア工科大学が評価用に作成したアプリケーションには、ユーザーに気づかれないように、端末からの個人情報窃取や、ツイッターへの投稿、メールの送受信、インストール済みの他のアプリケーションへの攻撃などを行うことができる、マルウェアとしての多くの機能が含まれていました。

 研究チームはApp Storeの制限回避を試験するために、これらの機能を分解して、審査時には確認できない状態とした上で認可を受け、App Storeで公開しました。公開されたアプリケーションをインストールすることで、再度連結してマルウェアとして動作することが可能なことも確認されています。

 SANSでは、こうしたセキュリティチェックの回避が行われないよう、そのプロセスを拡張すべきである、と評しています。(※もちろんその後、アップルはこの問題に対応し、iOSに変更を加えたとされています。)

 日本国内においても、業務でスマートフォンが利用されるケースが増えてきています。今回は、スマートフォンを業務に活用するために必要となる、セキュリティ対策の考え方について紹介します。

スマートフォンとセキュリティ上の脅威

画像
スマートフォン向けマルウェアの画面例
 低価格かつ携帯性を有し、直感的な操作性を持ち、いつでもどこでもPC並の機能を手軽に利用できるスマートフォン。メール機能やスケジュール管理、インターネットの利用やファイル操作をはじめとする、これまでPCがないと利用できなかったさまざまな機能が、スマートフォンを利用することで実現できます。

 実際に、社内メールシステムの利用やスケジュール管理、研修コンテンツの利用や電子会議システム、お客さまへの商品説明・契約説明や動画プレゼンテーションに利用するためのツールなどとして、日本国内でも導入が進んできています。

 しかしながら、こうしたスマートフォンの急激な普及に伴い、不正行為者による攻撃が行われる危険性も増大してきています。

 米ジュニパーネットワークスの報告によると(注1)、モバイル端末向けのマルウェアの脅威は、昨年度に比べ614%という急激な割合で増加し、マルウェアの数は27万6259件に達しているとのことです。

注1:Juniper Networks, Inc, “Juniper networks Mobile threat Center third annual Mobile threats report” July, 2013.

 ここで挙げられているマルウェアの多くは、Androidで悪用されるアプリケーションですが、これは、アプリケーションの審査プロセスまで統制しているiOSと、オープンに利用できるAndroidとの違いによるものだと言えます。

iOSとAndroidのマルウェアの特徴
iOSAndroid
各OSのマルウェアの
特徴
OSの脆弱性を利用した攻撃などOSの脆弱性攻撃に加えて、
マルウェア組み込んだアプリ配布も
デベロッパーの認定 登録制匿名可
アプリ審査 厳格
(多数の審査項目)
審査はあるものの自由度大
アプリ配布 原則としてApp Storeのみ
(iOS Developer Enterpriseなどで
企業専用サイト構築可能)
自由
(Androidマーケット以外も可能)

 しかし、iOSを利用していれば、悪用リスクがないのかというと、そういうわけではありません。被害者が意図せずに、Webサイトを閲覧するだけ、もしくはPDFファイルを閲覧するだけで、iOSの脆弱性を突かれてしまい、管理者権限まで乗っ取られ、悪意ある攻撃を受けてしまうという事例もあります。

 また、通常はAppStore経由でなければアプリケーションのインストールはできませんが、非認可のアプリケーションをインストールできるよう、ユーザーが不正にJailbreak(脱獄)と呼ばれる行為を行い、アップルによる管理が行われないアプリケーションをインストールされる可能性もあります。また、冒頭に紹介した事件のように、アップルのアプリケーション審査を通過した不正アプリケーションが、今後出てこないとも限りません。

 さらに言えばマルウェアへの感染だけがリスクではありません。利便性の裏返しとして、さまざまな脅威が考えられます。

 たとえば、携帯可能なPCに比べても、軽量で可搬性が高いがゆえに、置き忘れや紛失・盗難などが起こる可能性も高くなります。また、直感的に操作ができてしまうがゆえに、端末が悪意のある第三者の手に渡った場合、不正利用による情報漏えいやなりすましなども容易に行えてしまいます。

画像
スマートフォンを取り巻く脅威

【次ページ】セキュリティリスクを軽減する「多層防衛」の考え方

IT投資・インフラ戦略 ジャンルのセミナー

IT投資・インフラ戦略 ジャンルのトピックス

IT投資・インフラ戦略 ジャンルのIT導入支援情報

PR

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!