※本記事は、マカフィー株式会社 モバイルエンジニアリング プログラムマネージャー 石川克也によるものです。
高機能化し、金銭取引が容易にできる昨今のモバイルデバイスは、PCと同等もしくはそれ以上に強固なセキュリティ対策が求められます。前回および前々回は、モバイルを取り巻く脅威とその脅威への必要な対策について説明しました。今回はスマートフォンの事例として、今後最も普及が見込まれるAndroidを取り上げ、そのセキュリティモデルとその問題点について解説します。
2007年の発売以降iPhoneが一世を風靡したようにも見えたスマートフォン市場ですが、1年ほど前からグーグル社主導で開発が進んだオープンソースOSであるAndroidを使ったスマートフォンが破竹の勢いで増えているのはご存じの通りです。国内でもNTTドコモからHT-03A、 Xperiaと立て続けにリリースされましたし、ソフトバンクモバイルからX06HTが発売、auからもIS01の発売予定が発表されています 。さらに、Androidはスマートフォンだけではなく、タブレット型端末や電子ブックリーダー、テレビ、カーナビなどの情報家電の組み込みOSとしても注目されています。今後ますますAndroidが使われる機器が増えてくることでしょう。
Android自身はそのベースとしてLinux OSを利用しています。そしてAndroidのセキュリティも、LinuxのユーザーIDによるサンドボックスモデルが基本になっています。すなわち、Androidにインストールされている個々のアプリケーションには、Linuxで言う一般ユーザー権限に相当する権限が割り振られ、その権限で許される範囲でしか動作することができません。例えば、他のアプリケーションが所有しているファイルに書き込みアクセスすることは基本的にはできません。さらにネットワークを使って外部と通信したり、位置情報を調べたり、システムリソースにアクセスする場合には、そのアプリケーションをインストールして良いか明示的にユーザーに許可を求める仕組みになっています。
このような仕組みによって、Androidはある程度のセキュリティレベルを保っていると言えます。しかし、ユーザーがマルウェアやバグのあるアプリケーションを知らずにインストールしてしまうこと、SDカード経由での感染、インターネット上の問題あるサイトや不適切なサイトへのアクセス、端末紛失によるデータ漏洩などを防ぐには不十分です。やはり、前述のコンテンツスキャンや、Web Rating、Anti-Theftのような技術を用いて、利用場面に応じたセキュリティ強化が必要です。
アプリケーション配信側でのセキュリティ対策
最近のスマートフォンの最大の特徴は、ユーザーが欲しいと思うアプリケーションを探し出し、気に入ったアプリケーションを自由にダウンロードし、そして支払いまで行えるインターネット上のアプリケーション配信サービス(アプリケーションマーケット)が用意されていることでしょう。iPhoneのAppStoreや、Android端末向けのAndroidマーケット、Windows Phone向けWindows Marketplace for Mobileがその代表的なものです。さらに通信事業者や端末メーカー、ISPもこのようなマーケットに進出しつつあるようです。これらのマーケットの多くでは、誰でも自分が作ったアプリケーションを登録してビジネスを行うことができます。この仕組みのおかげで、スマートフォンを取り囲む大きなエコシステムが構築され、スマートフォン市場の活性化、発展に大きく寄与しています。
しかし、誰でもアプリケーションを開発できる以上、信頼できるアプリケーションばかりがマーケットで流通しているとは限りません。マーケットを開設している側とすれば、自分のところで流通しているアプリケーションは安心してユーザーに使ってもらいたいと思うことは当然で、登録アプリケーションを審査し、自らセキュリティを担保しようという動きが始まっています。そのような背景の中、アプリケーション配信システムと連携して登録されたアプリケーションの安全性をチェックする技術、ユーザーにダウンロードして使っても大丈夫ですよという意味の安心マークを付与するような認証サービスも求められてきています。
アプリケーションを配信サーバーに登録するときにチェックする、そしてそれが実際にダウンロードされ動作する前に端末で再度チェックする、という二重の対策の必要性が増してきています。
セキュリティの観点からは、スマートフォンはもはやスマートフォンという別カテゴリーの商品ではなくなってきています。オープンな技術で作られ、オープンな環境で使われていくスマートフォンは、PCと同じようなインターネットアクセスにおけるエンドポイントの一つです。その他、現在登場しつつある、タブレットPCなども新たなエンドポイントということができるでしょう。そしてユーザーは、これらのエンドポイントを、時と場所に応じて切り替えて使用し、情報アクセスや情報処理をより日常生活内にて行っていくと思われます。
今後セキュリティベンダーは、これらの広がりつつあるエンドポイントに対し、ユーザーが何を使っても常に一定のレベルのセキュリティを実現できるよう、包括的な技術開発や脅威の監視、また対応体制を構築していかなければなりません。
関連記事
- [2012/11/21] モバイル犯罪は割に合わない
- [2012/11/19] モバイルから個人情報が漏れないように
- [2011/10/17] Androidを狙うバンキング系トロイの木馬、「Spitmo」と「Zitmo」
- [2011/08/22] 通話内容を記録する最新のAndroidマルウェア:1年間の進化の軌跡
- [2011/08/15] Androidスパイウェア「SMS Spy」
- [2011/07/19] Android版ZeuSを解析する:その真相は?
- [2011/05/09] スマートフォンを守るための5つのヒント
- [2011/03/14] Google発のAndroid Market Security Toolについて
- [2010/12/20] モバイルセキュリティとその管理
- [2010/12/09] 重要度が高まる、スマートフォンのセキュリティホール
- [2010/11/26] jailbreak後のiPhoneをターゲットとした、マルウェア攻撃
- [2010/08/17] 古い手法の新たなAndroidマルウェアを発見
- [2010/08/06] モバイルのセキュリティ-2:必要な対策
- [2010/07/01] モバイルのセキュリティ-1:取り巻く脅威
