狙われ始めたAndroid

第1回:モバイル標的ウイルスの歴史と傾向


 読者のみなさまのほぼ全員、携帯電話やスマートフォンを最低1台は所持されていると想像しています。携帯電話を持っていない人を探す方が難しいというのが私の感覚です。本連載では、モバイル端末のセキュリティについて、特にマルウェア対策の視点から歴史・現状・将来を考えて行こうと考えています。まず第1回の本稿では、少し過去を振り返りながら現状を捉えて行こうと思います。

市民権を得たスマートフォン

 報道や媒体経由の情報として最近頻繁に取り上げられている通り、最近は特にスマートフォンやタブレット端末の隆盛が報じられています。同時に、フィーチャーフォンしかなかった時代にはあまり大きくは取り上げられなかった、モバイル系端末についてのセキュリティ対策への関心もどんどん高くなっています。

 もちろん、スマートフォンの登場前も、特に企業利用の携帯端末については紛失・盗難対策といったセキュリティ対策は考慮されてきました。ですが、スマートフォンのセキュリティを考える時、フィーチャーフォン時代にはあまり取り沙汰されなかったマルウェア対策がセキュリティ対策の一つとして考慮しなければならないものとなっています。

 なぜなら、スマートフォンに搭載されているOSプラットフォームはフィーチャーフォンと比較して概して高機能かつ柔軟性があり、端末自体がPCと大差ないもの(私の感覚ではスマートフォンとPCは同じレベルのものです)であり、また、既にスマートフォンに感染するマルウェアが登場しているという現実もあるためです。

モバイル端末を狙うマルウェアの過去、そして今

 モバイル端末に感染するマルウェアの歴史は、実はそれほど古くありません。2004年夏(6月~8月ごろ)にSymbianとWindows CEに感染するマルウェアが発見されたのが初出となります。

 それから時を経て2007年(日本では2008年)からApple社がiOSを搭載したiPhoneを市場に投入し、さらに2008年(日本では2009年)からGoogle社が開発しているAndroid OS搭載した端末の販売が開始され、現在私たちが「スマートフォン」と呼んでいるデバイスのコンセプトが確立して来たように思います。また、iPhoneを契機として一気にスマートフォンが一般に流通し、2011年現在、スマートフォンユーザはますます増える傾向にあります。

 一方、モバイル端末に感染するマルウェアは、2004年に初めて確認されて以来、徐々にその数が増加する傾向を示していました。それが2010年に従来には無い速いペースでの増加が確認され、その傾向は今年2011年にはさらに加速しているということができます(図1)。ちなみに、Androidを標的とした初のマルウェアは、2010年8月に見つかっています。

図1:モバイルOSに感染するマルウェアの件数の推移

 このグラフでは、特に2011年は1月から6月の6カ月間で確認されたものを示しており、半年間だけで前年の1年間を軽く凌駕する数のマルウェアが発見されたことになります。守る側としては残念なことですが、Kaspersky Labでは、この増加傾向は今後さらに強くなるであろうという予測をしています。

 増加傾向の要因はいくつか考えられるはずですが、私は市場におけるAndroidの台頭が大きく関連すると見ています。現在、世界中で最も多く使用されているモバイル端末はiPhoneなどiOSを搭載した端末であると言われていますが、最近1~2年はAndroidを搭載した端末がそのシェアを伸ばしています。世界を見渡すとPCよりもスマートフォンを中心とするモバイル端末の新規出荷台数の方が多いという現状を支えているものは、間違いなくAndroidです。利用者が多くなるに従い、残念なことにそれを狙うマルウェアも増加するという傾向は、Windows 95が市場を席巻しインターネットが爆発的に普及したのを追いかけるようにマルウェアが爆発的に増加してしまったという歴史が物語るところでもあります。

 もう一つ、Android自体の特性が現在そして近い将来のマルウェアの増加の一因となる可能性があります。Androidは開発者にとっては非常に柔軟でオープンなOS環境を提供しており、またアプリケーションの配布も比較的敷居が低いと言ってよいでしょう。これはアプリケーションの開発を促進しデバイスを広く普及させるという意図の表れと思われ、このこと自体を私は否定するものではありませんが(むしろ、いち技術者としては歓迎すべき点だと思っています)、マルウェアもコンピュータープログラムの一種であるということを忘れてはなりません。

注目すべきは良くも悪くもAndroid

 事実としてKaspersky Labの観測では、直近約1年足らずでAndroidに感染するマルウェアの数が大きく増加していることを確認しています。Kaspersky Labがモバイル端末向けのセキュリティ製品(Kaspersky Mobile Security 9)に配布しているマルウェア定義データベースには2011年11月30日現在で4774個のマルウェアが登録されています。

 このデータベースにはAndroidだけではなく、その他のモバイル端末向けOSを標的とするマルウェアをすべて含んでいるのですが、そのうち約50%がAndroidに感染するマルウェアです。

図2:Kaspersky Labがモバイル向け定義データベースに登録しているマルウェアの内訳。この統計自体は2011年10月時点ですが、現状ではAndroidがさらに増加しています

 特筆すべきは、Androidに感染するマルウェアが世界で初めて確認されてから、まだ1年足らずしか経過していないことです。Androidを標的とした初のマルウェアは、Kaspersky Labでは「Trojan-SMS.AndroidOS.FakePlayer.a」と命名しています。マルウェアの挙動に関する詳細は本連載の次回以降にて詳しく解説しますが、簡単に言えば、このマルウェアに感染すると、ユーザーの意図とは関係なく勝手に有償サービスに向けてSMSが発信され、ユーザーは金銭を搾取されてしまいます。

 そして、もう一つ、モバイル端末がマルウェアの標的として今後さらに狙われる理由があります。それは「金銭を搾取されやすい」ということです。モバイル系の端末はスマートフォンをはじめとして、電話やメール、SMSといった通信機能を持つことが一般的です。これらの機能を利用するために、当然のことながらユーザーは通信キャリアと契約し、基本料金や通話料をはじめとする通信費用を支払います。また、通信以外にもアプリの利用料金や有償サービスの利用料金などといった、金銭取引が発生する仕組みが前提となっているものがモバイル系の端末です。この前提条件が、マルウェアを作成する側から見ると好都合であるという言い方もできるのです。

 実際、Androidに限らず、モバイル系OSを標的とするマルウェアで最も多いのは、SMS trojan(SMSトロイの木馬)で、先述の「Trojan-SMS.AndroidOS.FakePlayer.a」もこの種類に該当します。感染後、ユーザーの意思とは関係なく勝手にSMSを発信し金銭を搾取するというのがSMS trojanの典型的な挙動です。

公式Android Marketでも……

 最後に、Androidに感染するマルウェアについてもう少し触れておきます。Androidに感染するマルウェアは、現状発見されているものは何らかの形で公開されたアプリの一部として仕込まれているものが大勢を占めています。

 例えば、ゲームの海賊版やサードパーティが運用するサイト(いわゆる野良サイト)で公開されているアプリの一部にマルウェアが仕込まれていることがあり、そのアプリをダウンロードし端末にインストールした時点で感染します。

 PCの場合だと、ネットワークにつないでいるだけで感染するワームやウェブサイトを閲覧しただけで感染するdrive-by-downloadタイプなど、感染の手法として非常に手の込んだものが存在することと対比すると、感染させる手法としてはAndroidの場合は(マルウェア作成・散布を行う攻撃者側の視点で言えば)まだ発展途上にあると言えるかもしれません。

 ただ、公式Android Market上に公開されてしまったマルウェア入りのアプリも発見されていますので、「信頼できるサイトからダウンロード、インストールしているから安全」ということは、既に通用しなくなっていることも事実です。

提供元不明のアプリのインストールを制限するAndroid端末の設定

 次回は、実際にモバイル端末に感染するマルウェアの挙動を詳しく解説していきます。


関連情報

2011/12/16 06:00


前田 典彦
株式会社カスペルスキーに所属し、チーフセキュリティエヴァンゲリストとしてマルウェアおよびインターネットセキュリティに関する調査啓蒙活動に従事するほか、社外NPO法人や各種団体の委員・幹事としても活動している。同社のCSIRT組織であるKLIRRTの代表も務める。