海の向こうの“セキュリティ”

第94回

「iOSはセキュア」は単なる都市伝説 ほか

 6月のセキュリティの話題としては、まず日本の警察庁を含む世界10カ国以上の関係機関の協力の下、「GameOver Zeus」ボットネットを使用不能にしたとの話題が世界的に大きく報道されました。また、2007年にSymbian OS用アプリケーションのデジタル署名用暗号鍵が盗まれ、多額の現金を脅し取られたことが今になって明らかになったほか、産業制御システムベンダーのウェブサイトが改ざんされ、インストーラーにマルウェアが仕込まれた事件もありました。

 一方、国内では、LINEの通信内容を韓国政府が傍受しているとの報道や、それに対してLINEの社長がブログで反論した件がネットメディアを中心に話題になりました。また、複数のソーシャルメディアなどでリスト型攻撃と見られる不正ログインが立て続けに発生し、一般のメディアでも大きく報道されました。

TrueCryptを巡る暗号化技術の利用状況

 オープンソースのディスク暗号化ソフトとして広く使われて来たTrueCryptが突然開発を終了したことに関連し、Sophosは100人を超えるITの専門家に対して暗号化技術の利用状況を調査した結果を発表しました。なお、回答者の87%は従業員数が1000人以下の中小企業に勤めているとのことです。

 まず、TrueCryptのビジネスユーザーのうち64%が、TrueCryptの開発終了に伴って惹起された問題点を知ったことでTrueCryptを選択することに対してより慎重に考えるようになったとしています。

 また、何らかの形(家か仕事のどちらか、または両方)で暗号化技術を使っている(または使っていた)ユーザーが実際に使っている(または使っていた)暗号化ソリューションは、1)TrueCrypt、2)OSベンダーが提供するもの(MicrosoftのBitLockerやAppleのFileVaultなど)、3)その他(商用のソリューション、または分からない)がそれぞれほぼ3分の1ずつを占めており、TrueCryptのユーザーが少なくない(むしろ多い)ことが分かります。

 さらに暗号化技術の利用状況について、回答者の30%は家でも仕事でも暗号を使っておらず、逆に28%が家でも仕事でも使用している一方、24%が仕事のみでの使用としています。

 ちなみに、自社や自組織でデータ保護に暗号化を用いていると回答したのは52%にとどまっています。

 長年に渡って広く使われてきたとは言え、出自のはっきりしないソフトウェアであるTrueCryptがビジネスでもそれなりに使われていたというのは、(今さらですが)かなりリスクの高い行為に見えます。また、スノーデン事件をきっかけに「信頼できる暗号化ソフトウェア」として一般にも広く知られるようになったTrueCryptが、突然開発を終了したことをきっかけに、開発者が素性を明らかにしていない上、国家的圧力があったのではないかとの憶測が広まるなど、今になってその「信頼性」に注目が集まるようになったというのは皮肉な話です。

 これらの結果を踏まえ、Sophosは、TrueCryptではなく、OS標準の暗号化技術を使うことなどを推奨するとともに、暗号鍵の適切な管理、ディスクだけでなくクラウドやUSBメモリ、DVDなどでもデータを暗号化することなどについても注意を促しています。

「iOSはセキュア」は単なる都市伝説

 一般的にスマートフォンのOSとしてはAndroidよりもiOSの方が安全と言われることがあります。実際に、スマートフォンを対象としたマルウェアの大半がAndroid向けであること、また、iOSの場合、OSのバージョン管理(≒脆弱性対策)がAppleによって統一してなされている上、標準では(基本的に)Appleの審査を経たアプリのみがインストール可能であることなどが、その理由として挙げられており、この観点では確かにAndroidよりも優位と言えるかもしれません。

 その一方でiOSを狙った攻撃も現実に存在しており、決して油断すべきではないとの注意喚起は以前からなされていますが、iOSユーザーが十分な危機感を持っているとは言えない状況のように思えます。

 そのような中、企業向けのモバイルセキュリティを扱っている米Marble Securityが、iOSとAndroidのセキュリティ面について特に企業ユーザーの観点で比較した報告書を発表しました。

 まず、iOSの優位性として真っ先に挙げられることの多い、Appleによる審査を経たアプリのみがインストール可という点について、開発中のアプリのテストに用いられるTestFlightを使えば正規のApp Store以外からもアプリをインストールすることが可能である点が指摘されています。

 次に、代表的な14の攻撃手法について比較したのが図1です。当然ながらフィッシングに対してはiOSもAndroidも危険性に変わりはありません(変わるわけがありません)。また、電話帳の情報が取得されたり、悪用されたりする危険性も同様です。これは特に企業ユーザーにとっては深刻でしょう。さらにJailbreakやルート化などができてしまうのも同じです。しかし、これらの問題はすでに知られている話で目新しいものではありません。

図1

 これらの14の項目の中で、iOS固有の新しい脅威として挙げられているのが「Hostile configuration profiles」です。これはiOSの設定プロファイルの仕組みを悪用したもので、ウェブサイトにアクセスさせ、そこから不正な設定プロファイルをインストールさせることで、通信を傍受したり、偽のアプリをインストールさせたりするなどを可能にしてしまいます。これを実現する手口としては、例えば情シスなどを騙ってスパムフィルターやセキュリティソフトをインストールするように注意喚起することで不正な設定プロファイルをインストールさせるといった方法などが考えられます。

 また、ほかにも本報告書では、Androidだけでなく、iOSに対しても存在することが明らかになった脅威として、暗号化されていない電子メールの添付ファイル、ランサムウェアの存在、(クラウド上の)バックアップの乗っ取りを挙げています。

 さらに、iOSとAndroidの120万のアプリの振る舞いをMMRS(Marble Mobile Risk Score)と呼ばれる基準で分析・採点し、どのカテゴリのアプリがリスクの高い振る舞いをするかをまとめたのが図2です。これは同カテゴリ内のアプリを比較し、MMRSの点数が標準偏差の2倍以上大きいアプリの割合を示したものです。これによれば、Androidではソーシャルネットワーク関連のアプリが最もリスクが高く、iOSではゲームアプリやニュースアプリが比較的高いことが分かります。

図2

 スマートフォンのOSとして事実上スタンダードとなっているAndroidとiOSを比較して、どちらがセキュアかというのは多くの利用者にとって気になる点であるのは仕方のないことですし、今回の調査結果に興味深い点があるのも確かです。しかし、何かと比較して相対的にセキュアであることがセキュリティを保証するものでないことは明らか。「やられる時はやられる」だけです。何を使うにしろ、それにどのようなリスクがあるのかを把握し、対策しておくことの方がはるかに大事だということを忘れてはいけません。

山賀 正人

CSIRT研究家、フリーライター、翻訳家、コンサルタント。最近は主に組織内CSIRTの構築・運用に関する調査研究や文書の執筆、講演などを行なっている。JPCERT/CC専門委員。日本シーサート協議会専門委員。