インテル セキュリティは、世界中に配備した数百万台に上るセンサーから得られたデータを、脅威インテリジェンス「McAfee Global Threat Intelligence」(McAfee GTI)に集約し、日々の検知・防御に活用しています。同時にその分析結果を四半期ごとにレポートとして公表しています。
2016年第1四半期の状況をまとめた最新号「McAfee Labs脅威レポート: 2016年6月」によると、過去の脅威レポートでも報告した「ランサムウェア」の勢いは、高い技術力を持たない犯罪者でも簡単にマルウェアを作成、配布できるエクスプロイトキットの存在もあって衰えを見せず、24%増加しています。また、昨年11月の脅威レポートで取り上げた「マクロウイルス」も引き続き増加を続けており、依然として注意が必要です。
●それぞれ単体では無害なアプリが共謀?
さて、インテル セキュリティではより正確なデータを提供するため、今回のレポートからモバイルマルウェアの計算方法を変更しました。新しく登場したモバイルマルウェアの数は、175万種近くに上りました。日々登場するモバイルマルウェアの合計数は、1,000万件近くに達しようとしています。
今回のレポートでピックアップしたトピックの一つも、このモバイルマルウェアに関するもの、それもこれまでに比べ手の込んだ手法に関するものです。
サイバーセキュリティの世界において、攻撃と防御は常にいたちごっこと言われます。われわれが何らかの防御策を講じると、敵はそれをかいくぐる新たな手法を編み出してきます。モバイルマルウェアも同様で、その最新の例が、今回ご紹介する「モバイルアプリの共謀」という新しい攻撃形態です。
話は飛びますが、「食べ合わせ」という言葉をご存知でしょうか。それぞれ単品ならばおいしく、何の問題もなく食べられる食材なのに、一緒に食べると消化不良につながる組み合わせがあります。実は、モバイルアプリの中にもこれと同じような組み合わせがあることを、インテル セキュリティはシティ大学ロンドン、スウォンジー大学、コヴェントリー大学と共同で実施しているACiDプロジェクトで明らかにしました。しかも偶然の結果である食べ合わせとは異なり、意図的に共謀が試みられている可能性が高いのです。
この「共謀」アプリは、それぞれ個別に使う分には何の問題もありません。AndroidをはじめとするモバイルOSが実装しているサンドボックスの制限や権限に従って動作します。問題は、これらが同じモバイルデバイスにインストールされてしまった場合です。インテントによるアプリケーション間通信を悪用し、個人情報や機密情報などを不正に共有したり、犯罪行為に悪用される恐れがあります。
例えば、「重要な情報またはサービスへのアクセスは許可されているが、外部との通信は許可されていないアプリA」と、「重要な情報へのアクセスは許可されていないが、外部との通信が可能なアプリB」が同時にインストールされている環境があったとします。アプリはそれぞれ正常に見えます。本来ならばOSの制限に従って、個人情報や機密情報が外部に送信されることはないはずです。しかし、これら2つのアプリが共謀し、アプリAがアクセスした情報が、アプリケーション間通信を使用してアプリBに渡され、外部に流出してしまう恐れがあるのです。
こうした共謀アプリは、広告を通じて同時にインストールするよう促されることもあれば、アプリケーション間通信機能を埋め込んだSDKやライブラリを通じて、ユーザーはおろか、開発者すら気付かない形で実装されることもあります。
残念ながら、複数のアプリによる共謀は机上の空論ではありません。McAfee Labsが最近実施した調査の結果、複数のアプリに共謀用のコードが埋め込まれていることが判明しました。ある特定のAndroid SDKを用いたアプリが、アプリストア側の検査やモバイルセキュリティ製品のフィルタリングを回避し、連携(共謀)して動作しているのです。
このSDKは、少なくとも5,000を超えるインストールパッケージに含まれ、21個のモバイルアプリで確認されました。万一これらのAndroidアプリが同一のデバイスにインストールされると、Android OSが設けている制限を超え、リモートの制御サーバーから命令を受信するようになっています。そしてボットを実行し、共謀する別のアプリから受け取った情報を送信する仕組みです。
インテル セキュリティはACiDプロジェクトとともに、こうした共謀するアプリを検出できるツールを開発しました。合わせて、モバイルセキュリティソフトウェアを活用することで、共謀するアプリの攻撃を阻止することができるでしょう。また、アプリを入手する際には、「提供元不明」のアプリはインストールせず、信頼できるマーケットやソフトウェア開発元から入手し、できれば広告が埋め込まれたアプリも避ける方が望ましいでしょう。
●暗号アルゴリズムにも寿命はある、移行計画の立案を
今回のレポートではまた、ハッシュ関数「SHA-1」の使用停止についても提言しています。
ハードウェアを使い続けていれば部品が劣化し、いずれは買い替えを避けられなくなるのと同じように、暗号アルゴリズムにも寿命があります。それを決めるのは、脆弱性の有無と、暗号の解読(ハッシュ関数の場合には正確には「衝突」)を可能にするプロセッサーの性能向上です。
実はSHA-1については重大な脆弱性が指摘されており、多くのWebブラウザベンダーをはじめ、ソフトウェア業界の多くが、SHA-1のサポート停止計画を進めています。レポートではその詳細を説明するとともに、見逃されがちな制御システム、SCADA(Supervisory Control and Data Acquisition)についてもSHA-1の利用個所を特定し、移行計画を立てるよう推奨しています。ぜひご覧ください。
【関連情報】
- McAfee Labs脅威レポート2016年6月
- McAfee Labs脅威レポート2015年11月
- フィッシング攻撃はモバイルへも拡大:Google Playを狙う新しいAndroidマルウェア
- モバイルアプリを常にアップデートもしくは削除すべき理由
- ランサムウェア関連情報まとめ
- 数十万件のポリモーフィック型ランサムウェアを散布するサイバー攻撃が進行中
- 身近な脅威となったランサムウェア
- 第4回:今だから学ぶ! セキュリティの頻出用語 : ランサムウェアとは?
- 第5回:今だから学ぶ! セキュリティの頻出用語 : マルウェアとは?
- 第6回:今だから学ぶ! セキュリティの頻出用語 : サンドボックスとは?
- 第15回:今だから学ぶ! セキュリティの頻出用語 : エクスプロイトキットとは?
【関連製品】
![[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス](https://blogs.trellix.jp/wp-content/uploads/2018/03/クラウドとビジネス.png)