モバイル端末を狙う新たなる脅威:脆弱性の利用

モバイルの脅威の大半が不正なアプリや危険性の高いアプリによって引き起こされますが、モバイル端末はその他の脅威にも悩まされています。「Samsung Galaxy」の端末で発見された不具合や、脆弱性を利用しユーザ端末のルート権限を取得しようとする不正アプリ「OBAD」の例が挙げられますが、残念ながら、これらだけがモバイルユーザが慎重になるべき脆弱性ではありません。

2013年7月下旬に米国で開催されたセキュリティカンファレンス「Blackhat USA」では、Android端末における「マスターキー」となる脆弱性に加え、SIMカードおよび iPhone充電器における3つの脆弱性について議論がなされました。

当初、「マスターキー」となる脆弱性は、99%の Android端末に影響する事案として報告されていました。これは、Android端末のアプリが、どのように開発者の発行する正規の署名キーを使わずして署名を有効化し、攻撃者に既にインストールされたアプリの更新を可能にさせるのかという問題に関連します。攻撃者は、この脆弱性を悪用することで正規アプリを不正なアプリへと置き換えることが可能となります。トレンドマイクロは、攻撃者の手によりバンキングアプリを置き換え、トロイの木馬化させる脆弱性が利用された際の影響が、いかに大きなものになるかを目の当たりにしました。

一方、第2のモバイル端末における脆弱性は、今日の SIMカードの多くに採用されている古い暗号化システムが使われていることが発端となります。攻撃者は、意図的にエラーを引き起こすように細工された「SMS のメッセージ(以下、テキストメッセージ)」を送信するだけで、その脆弱性を悪用することができます。その結果、SIMカードは、56ビットのセキュリティキーを含むエラーコードを返します。そのキーは、攻撃者によりモバイル端末にテキストメッセージを送るために利用されます。これにより、不正な Javaアプレットのダウンロードをもたらします。この不正な Javaアプレットは、テキストメッセージの送信や、モバイル端末の位置情報の収集といった不正な動作を実行するように設計されているようです。

「マスターキー」となる脆弱性とは異なり、SIMカードの脆弱性は、OS に依存しないため、はるかに多くのユーザに影響を及ぼします。その上、上述の脅威は古い暗号化システムの使用から生じるため、GSM方式を採用する事業者や通信事業者が新たな暗号化技術を取り入れた SIMカードへと更新するには、費用がかかり、現実的ではないと考えられます。

この脆弱性を狙った攻撃を防ぐ方法は、他にもいくつかあります。テキストメッセージのフィルタリングは一つの良い対策ですが、従来の基本的な機能しかない端末では、不可能かもしれません。通信事業者によっては、ネットワーク内におけるテキストメッセージのフィルタリングも提供していますが、それは携帯電話会社に極めて依存することになります。

第3の脆弱性は、iPhone でさえ脆弱性の問題から免れることができないということです。米ジョージア工科大学の研究者達は、USBコマンドを起動することの出来る小型コンピュータを持つ、「Mactan」とも呼ばれる不正な充電器を制作することに成功しました。これは上述の BlackHat US で公開され、研究者達は、この不正な充電器が iPhone へ感染し、コマンドの実行を行う様子を実演しました。その後 Apple は、この攻撃の実行に利用された脆弱性に次回のソフトウェアアップデートで対応することを発表しました。

■将来へのさらなる懸念
今までのところ、Google、Apple、または Samsung といったベンダは、これらのセキュリティ問題に対して迅速に対応をしています。しかしこれまでの長い期間、モバイルの脅威として広く知られている形態が多数の不正なアプリケーションであることを考慮すると、モバイルコンピューティングに関連する脆弱性の出現は、これまでとは違った、さらなる警戒をすべき懸念を表しています。

脆弱性は脅威にとって非常に効果的な手段です。これは、トレンドマイクロが PC の脅威への対策から学んだ事です。脆弱性への対策は、ユーザ、開発者側の両面から、非常に難しいものでもあります。PC の観点からの脆弱性の対処方法は、パッチの取り扱いと同様に、依然議論の必要な問題の一つであります。これはモバイルにとっても同じ問題であり、この傾向は依然続くと思われます。そして、消費化と断片化といった問題が、これをさらに複雑なものへとするでしょう。

現在、モバイルユーザにとって脅威から彼らのモバイル端末を守る必要性は、今までにないほど重要なものであり、今後も一層重要なものになります。新たな脅威や感染だけでなく、既に知られた脅威もその数を増し、同時に進化をしています。2013年8月上旬に発表した「2Q 2013 Security Roundup(英語情報)」で弊社が報告したように、発見された Android端末に影響を及ぼしている不正なアプリや危険性の高いアプリの数は71万8千個にもおよび、たった半年間で35万個の増加を見せています。

トレンドマイクロ製品をご利用のお客様は、「ウイルスバスター モバイル for Android」「Trend Micro Mobile Security」により守られています。また、弊社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」によって守られています。特に「Webレピュテーション」技術により、この脅威に関連する不正な Web サイトへのアクセスをブロックします。

参考記事:

  • Exploiting Vulnerabilities: The Other Side of Mobile Threats
    by Gelo Abendan (Technical Communications)

    •  翻訳:木内 牧(Core Technology Marketing, TrendLabs)

    Related posts:

    1. 2013年 年間セキュリティラウンドアップ:金銭を狙う攻撃が世界規模で拡大
    2. アメリカ合衆国独立記念日にちなんだ文面でウイルス感染サイトへ誘導するスパムメール
    3. 2012年第1四半期のセキュリティ動向を振り返る: キーワードは「モバイル」
    4. 2013年第1四半期のセキュリティ動向:「ソーシャル」、「クラウド」、「非Windows」