清水理史の「イニシャルB」

カメラ映像もコピー中の文字さえも監視可能 スマホの遠隔操作もできる「Parallels 2X MDM」

 怖いくらいに高機能。そんな言葉がピッタリなMDM(Mobile Device Management)ソリューションが、Parallelsが提供する「Parallels 2X MDM」だ。5台のデバイスまで無料で管理可能なこのソリューションを利用すると、端末の位置検索やリモートワイプはもちろんのこと、Android端末の各種機能を遠隔操作で自在に制御することができる。遠隔操作でSMSやカメラを制御できる、ということが、実際にどんなことなのかを体験してみた。

お断り

 どういう書き方をしようか、かなり迷った。

 読み方によっては誤解されかねないし、記事が一人歩きすれば、もしかすると各方面に迷惑をかけるかもしれない。

 しかし、実際に使ってみて感じた、ある種の怖さは素直に伝えたいし、スマートフォンが抱えるセキュリティの課題やリスクを実体験できるという意味では、こんなにいい題材もない。

 だから、あえてインパクトのある言葉を選び、内容も本来、MDMを語るうえで取り得るべき企業の管理者視点ではなく、管理される側の視点で語ることにした。

 よって、本記事は、必ずしも「Parallels 2X MDM」という製品の本質を正しく評価するものでないことをあらかじめお断りしておく。

 もちろん、さまざまなプラットフォームのモバイルデバイスを集中的かつ、効率的に管理できるという点では、Parallels 2X MDMは優れたソリューションだ。しかも、一般的なMDMソリューションにはないAndroid端末のリモートコントロールという非常に強力な機能まで備えている。

 しかし、もしも、あなたが管理する側ではなく、される側であるならば、この強力なリモートコントロール機能がどのようなものなのかを理解しておくべきだし、本製品に限らず、同じようなしくみによって自分の端末が意図せず監視、操作される可能性があることを知っておくべきだ。

 スマートフォンにおけるセキュリティの基本中の基本は、アプリのインストール時にアプリの権限をよく確認することだ。「Parallels 2X MDM」を実際に使うと、その大切さを、まさに自分のこととして経験することができる。

Parallels傘下となった2XのMDMソリューション

Parallels 2X MDM

 Mac OS X向けのデスクトップ仮想化ソリューションとして有名なParallels社が、モバイルデバイス管理(MDM)ソリューションベンダーとして知られる2X Software社を買収したのは、昨年(2015年)2月のことだ。これによりParallelsと2Xのダブルネームでサービスが開始されるようになったのが、今回取り上げる「Parallels 2X MDM」だ。

 MDMは、スマートフォンやタブレット、ノートPCなどのモバイルデバイスを統合的に管理するソリューションとなる。身近なサービスとしては、AppleのiCloudのiPhoneを探す、GoogleのAndroid Device Manager、MicrosoftのMicrosoftアカウントのデバイス管理機能、IntuneやOffice 365などがある。

 端末をうっかり置き忘れたときなどに、地図でその場所を検索したり、リモートワイプ機能を使って遠隔操作でデータを削除したりした経験がある人も少なくないだろう。

 Parallels 2X MDMも、こうしたMDMソリューションの1つで、クラウド上に用意された管理ページから、端末を管理可能となっている。個人で使うのであれば、先のiCloudやAndroid Device Managerでも十分だが、企業で利用するとなると、機能的に物足りない。

 具体的には、AndroidやiOS、Windowsなどのマルチプラットフォームに対応する必要があったり、利用可能な機能をポリシーで設定したり、パスワードを強要したり、リモートからの操作でアプリを配布したりできるようにしたりする必要がある。

 Parallels 2X MDMは、こういった企業に求められるMDM機能を網羅するとともに、例えば、現在の所在地だけでなく過去の所在地の履歴を追えるようにしたり、端末の位置だけでなく向いている方向まで検知して表示できるなど、管理者が必要とする細かな機能が数多く搭載されている。これらの機能により、これまで集中管理が難しかったスマートフォンやタブレットなどの端末を効率的に管理できるようにしたり、生産性を向上させたりすることが可能となっている。

Parallels 2X MDMの管理画面。端末の位置を検索したり、リモートワイプ、ロックを実行可能
インストールされているアプリを一覧表示したり、リモートからアプリの追加や削除が可能
ポリシーを利用することで、パスワードの強要など設定を適用できる

リモートコントロール機能を搭載

 そんなParallels 2X MDMだが、一般的なMDMソリューションとひと味違うのが、「リモートコントロール」機能を提供している点だ。

 リモートワイプやリモートロックを「リモートコントロール」と呼ぶ製品も少なくないが、Parallels 2X MDMのリモートコントロールは、より本格的な遠隔操作だ。

 同サービスのWebページからサービスにサインアップ後(5台までのデバイスの管理であれば無料で利用可能)、管理画面からメールアドレスを指定してユーザーを登録する。すると、自動的に指定したメールアドレスあてにデバイスのメールが送信される。

管理画面からユーザーを追加

 ユーザーは、受信したメールの内容に従って専用アプリ「Parallels 2X MDM」をダウンロードし、同じくメールのリンクから端末をサービスへと登録する(iOS端末はあらかじめ証明書を作成し、それを配布することでアプリも自動インストール)。

受信したメールからアプリのインストールと登録を実行

 たったこれだけの操作で、管理用Webサイトからデバイスをクリックするだけで端末に接続することが可能とななり、Windowsのデスクトップ画面のようなGUI画面から、端末のファイルを操作したり、カメラを利用するなど、以下のような機能が利用可能になる(リモートコントロールはAndroidのみ)。

File Manager
端末のファイルの表示やダウンロード、アップロードが可能
Device Info
端末の各種情報を表示できる(バッテリー温度、充電状態、メモリ空き容量、ネットワーク状態、加速度計センサー、磁気センサー、気圧センサー、近接センサー、RGBセンサーなど)
Clipboard
端末でコピーしている文字列を表示したり、管理画面で指定した文字列をコピーした文字としてセットできる
System Logs
システムログの表示
Contacts
端末の連絡先を一覧表示したり、新しい連絡先を登録したり、既存の連絡先を編集したりできる
Shell
シェルコマンドの実行(例えば、wm sizeで表示サイズを返すなど)
Camera
スマートフォン本体のカメラ(Front/Back切り替え可能)の映像を表示し、静止画をキャプチャすることができる
SMS
スマートフォンで受信したSMSを表示したり、遠隔操作でSMSを指定した電話番号あてに送信できる
Personal Web Server

スマートフォンをWebサーバーとして稼働させる

Wifi Keyboard

ブラウザ経由でPCのキーボードからスマートフォンに文字入力できる(Wi-Fi接続時のみ)

 なお標準では、インターネット経由での接続時は、プライバシーを保護する目的で、カメラとDCIMフォルダーへのアクセスが禁止されているが、端末上のアプリで利用を許可することが可能だ。

 また、Wi-Fi接続時は、「http://192.168.2.8:8080」などのローカルアドレスを指定することで同画面にアクセス可能となっており、その場合、アプリ側の設定とは関係なくカメラの制御ができたり、Wifi Keyboardなどの機能が利用可能になる。

自分の端末に使えば非常に強力だが……

 通常、これらのリモートコントロール機能は、ヘルプデスク的な機能として活用したり、管理者が社員の端末を細かく制御する際に利用するものだが、本来の用途から離れ、単純に個人ユーザーが自分の端末を遠隔操作するためにも利用可能だ。

 例えば、File Managerを使えば、必要なファイルをネットワーク経由で端末に転送したり、逆に端末で保存されているファイルをPCにダウンロードしたりすることができる。

 スマートフォンの文字入力にどうしてもなじめなければ、連絡先をPCから編集したり、長めのメッセージをSMSに入力して送信することもできる。もちろん、端末をShellからある程度コントロールすることなども可能だ。

 ただ、自分が使うために、自分でアプリをインストールし、自分でリモートコントロールする場合は、それでかまわないのだが、自分の知らないところで、これが使われたとしたら、と考えると、ちょっと怖い。

 例えば、会社から支給されたスマートフォンが、このソリューションで管理されていたとすると、居場所はもちろん、向いている方向もわかるうえ、クリップボードに文字列をコピーすれば、リアルタイムにそれも把握できる。さらに、リモートからカメラを起動すれば、その画像もすぐに管理画面上に表示される。

 もちろん、端末の画面は突然カメラに切り替わるが、あまりにも唐突かつ自然なため操作ミス程度にしか思わない。起動後、ユーザーがホームボタンや戻るボタンを押してカメラを終了すればリモート側の映像も切れるが、端末をロックしていてもカメラも起動できるうえ(ほかの操作も可能)、カメラの映像はリモートからキャプチャ可能だ。カメラアプリのシャッターを切って撮影するのではなく、転送された画像をキャプチャするだけなので、シャッター音もしない。

 これでは、場所の履歴から行動が丸裸になるだけでなく、業務と関係ない場所を頻繁に訪れれば、そのタイミングを狙って証拠の写真もばっちり押さえられることになる。現実に、自分の会社が業務用の端末をどう管理しているかはわからないかもしれないが、こういうソリューションが存在することくらいは、頭の片隅に入れておきたいところだ。

履歴で居場所も丸裸

ちょっと心配

 というわけで、最近のMDMは「なかなか気が抜けないなぁ」と実感させられたのだが、ひとつ懸念がある。

 それは、このしくみを悪用されないか? ということだ。

 前述した通り、本サービスで端末を管理するための設定は単純だ。クラウド上からユーザーに招待メールを送り、その手順に従って、ユーザーがアプリのインストールと端末登録のリンクを2つタップするだけでいい。

 仮に、INTERNET Watch編集部あてに、筆者の名前を語って「以下のアプリを手順に従って評価してください」と上記リンクを記載したメールが届いたとしたら、もしかすると何人かは、筆者の頼みなら、とアプリをインストールしてくれるかもしれない。

 これは、いわゆる標的型攻撃の典型的な手口だ。

 誤解してほしくないが、もちろん、Parallels 2X MDMは、そんなアプリではない。また、アプリをインストールする際、Parallels 2X MDMは、以下の許可をきちんと求める。このため、仮に端末を追加するためのメールを受信したとしても、要求する許可があまりにも多いことから、インストールを拒否する人の方が多いはずだ。

・端末とアプリの履歴
・ID
・連絡先
・位置情報
・SMS
・電話
・画像/メディア/ファイル
・カメラ
・Wi-Fi接続情報
・端末IDと通話情報

アプリの許可を確認することがいかに大切かがわかる

 しかしながら、あまり権限をチェックしないという人も少なくないし、うっかりインストールしてしまうというケースもあるだろう。普段、アプリをインストールする際、アクセス許可をどこまで確認しているかは人によって違うと思うが、たった1つのアプリであっても、ここまで許可を与えてしまえば、ほぼ自由自在に端末を制御することができると考えると、この画面を確認することがいかに大切かがわかるだろう。

 というわけで、Parallels 2X MDMは、すばらしいソリューションであることは間違いないが、端末の登録は、スマートフォンと管理端末が同一ネットワーク上にあるときに限定するなど、もう少し工夫があってもいいのではないだろうか? そこだけが、少し心配だ。

 ちなみに、おそらく本コラムが掲載されるタイミングでは、放送が終了しているが、NHKの「サイエンスZERO」でスマートフォンの乗っ取りに関する番組が放送されたはずだ。本稿執筆時点では、まだ次回予告しか視聴できないが、予告編動画では送受信したSMSをリモートからカンタンに見られることを紹介している。

 標的型攻撃や乗っ取りという話は、身近に体験することができないため、どうしてもひとごとのように感じられてしまう。しかし、Parallels 2X MDMを使って自分の端末を管理下におけば、前述したようにリモートコントロール機能でSMSを見たり、カメラで映像を見るなど、似たような体験をすることができる。その体験をするためだけでも、Parallels 2X MDMを使ってみる価値は大いにあるだろう。

清水 理史

製品レビューなど幅広く執筆しているが、実際に大手企業でネットワーク管理者をしていたこともあり、Windowsのネットワーク全般が得意ジャンル。最新刊「できる Windows 10 活用編」ほか多数の著書がある。