ニュース

モバイルOS、脆弱性の報告が多いのはiOS、マルウェアが多いのはAndroid

 株式会社シマンテックが公開したインターネットセキュリティ脅威に関するレポート「2013 Internet Security Threat Report, Volume 18」(以下、ISTR)では、モバイルマルウェアの動向もトピックの1つとして取り上げている。

 ISTRによると、Androidをターゲットにしたマルウェアの累積数は、2012年1月時点で77ファミリーだったのが、12月には174ファミリーとなり、2倍増以上に増加した。亜種の累積数も、1月時点の592種から4404種へ、7.4倍と爆発的に増加した。

 Androidマルウェアがこれだけ亜種を増やしている意味について、シマンテックの浜田譲治氏(セキュリティレスポンスシニアマネージャ)は、PC向けのマルウェアと同様の理由があると説明する。すなわち、PCマルウェアでは、セキュリティソフトですぐに検出されてしまわないように多くの亜種が作成されていたが、やはりモバイルでもこうしたセキュリティ対策への対抗措置として亜種を大量に作成しているものとみられる。

Androidマルウェアのファミリー/亜種の累積数の推移

 ISTRでは、モバイルOSの脆弱性とマルウェアによる脅威の関連性について、興味深いデータも提示している。PCのOSでは脆弱性が多ければそれを悪用するマルウェアも多くなる可能性があるのに対して、現時点では、モバイルOSの脆弱性とマルウェアによる悪用との間に顕著な関連性はないのだという。

 ISTRによると、公表されている脆弱性の件数は、iOSが387件、Androidが13件、BlackBerryが13件、Windows Mobileが2件。なお、iOSの脆弱性が圧倒的に多いが、浜田氏によれば、この結果からiOSが危険ということではなく、iOSを研究しているセキュリティ専門家の数が多いことから、発見される脆弱性も多いのではないかとしている。

 一方、2012年のモバイルマルウェアをOS別に見ると、iOSが1件、Androidが103件、Symbianが3件、Windowsが1件で、Androidマルウェアの数が圧倒的だ。これは、モバイルマルウェアでは脆弱性を突いて感染するタイプがまだ登場しておらず、いまだユーザーをだましてインストールさせる手法であることが影響しているという。AndoridアプリはGoogle Play以外でも配布が可能であるのに対して、iOSアプリは配布マーケットがApp Storeに限定される。しかもiOSアプリは同マーケットでの公開にあたって審査が行われるために、マルウェアを拡散させやすいAndrodに集中するというわけだ。ただし、将来的には状況が変わる可能性はあるとしている。

モバイルOSの脆弱性の数とマルウェアの数

 さらに、モバイルマルウェアの脅威を分類すると、やはり情報を窃取するタイプが多く、32%に上った。以下は、従来の脅威(バックドア、トロイの木馬、ダウンローダーなどPCマルウェアにもあったようなもの)が25%、ユーザー追跡(GPSなど)が15%、コンテンツ送信(特定電話番号にSMSを送信することで購読・寄付などが行えるプレミアムSMS)が13%、アドウェア/嫌がらせが8%、デバイスの再構成が8%。

 最も多い情報の窃取は、日本では連絡先(電話帳)に登録されている個人情報などを外部送信するものが主流だが、欧州では銀行情報を盗むものが多く、よりダイレクトに金銭目的なのだという。また、アドウェアについては、アプリに追加するコンポーネントとして提供されているものもあり、アプリ開発者にとっては収入になるが、ユーザーにとっては好ましくないとして、今後注意が必要とした。

モバイルマルウェアの脅威の分類

 23日にISTRについての記者説明会を行った浜田氏は、日本におけるモバイルマルウェアについての状況も解説した。

 さまざまなアプリを装って、実行すると裏で情報を窃取するタイプの日本語Androidマルウェアは2012年に入って活発化した。当初は、4月に確認された「Android.Dougalek」(The Movie)、5月に確認された「Android.Uranico」(占いアプリ オーラの湖)のようにGoogle Playで配布されていたが、不正アプリということで削除されてしまう。そのために夏以降は、迷惑メールで不正アプリをホスティングした偽Google Playへのリンクをばらまき、そこからダウンロードさせる手口に移行しているという。

 例えば、8月に確認された「Android.Sumzand」(スマソーラー、サンチャージ)では、ユーザーがこれをインストールして実行すると、連絡先の情報を盗み出し、それら盗み出した連絡先に対して同アプリを宣伝するメールを送信。それを見た他のユーザーが同様にダウンロードする……という繰り返しになる。電話帳に登録された連絡先に送信するということは、受信する側からすれば知人がおすすめしているアプリと思い、信用してダウンロードしてしまう可能性も高いという。

Android.Sumzand

 このように、メールで偽マーケットサイトに誘導して拡散するタイプは、このほかにも7月に確認された「Android.Ackposts」(電池長持ち)やアダルトアプリの「Android.Maistealer」、8月に確認された「Android.Ecobatry」(電池長持ちアプリ)や「Android.Loozfon」(当たるかな?)、9月に確認された「Android.Enesoluty」(安心ウイルススキャン)、2013年1月に確認された「Android.Exprespam」(バッテリー・キーパー)などがある。

 浜田氏は、これら一連のAndoridマルウェアについて、PC時代のマスメーリング型(大量メール送信型)ウイルスに似てきている点もあると指摘した。

2012年以降に確認された日本語のAndroid不正アプリ

 日本語のAndoridマルウェアとしては、これら情報摂取目的の不正アプリのほか、アダルトサイトへの入会ページなどを表示し、金銭をだまし取るのが目的のワンクリック詐欺(架空請求)アプリもある。2012年1月に確認された「Android.Oneclickfraud」の詐欺グループは逮捕されたが、2013年に入ってGoogle Play上で日本語ワンクリック詐欺アプリの新種が掲載され、最近になって急増していることを示すグラフを浜田氏は提示した。

 これによると、Google Play上で掲載が確認されたのは1月末で、数は多くなかったという。しかし、その累計数は4月時点で430件に上り、それらのアプリの開発者として登録されている開発者数は100者近くもある。現在もいくつか公開されているという。特に3月下旬に急増しており、それまで100種未満だったのが一気に350種を突破した。浜田氏は急増した背景について、3月末にこうしたアプリの存在が広く報道され、ユーザーの注意が喚起されたことを受け、詐欺グループがアプリ名やアイコンなどの見た目を変えたアプリを大量に投下し、少しでもだまされる人が出る確率を上げようとしているのではないかとした。

Google Play上で発見された日本語ワンクリック詐欺アプリの累計数

(永沢 茂)