セキュリティをすり抜けるバンコク製「モバイルマルウェア」とは？　F-Secure、パトリック・ルノー氏が語る携帯電話への脅威

セキュリティをすり抜けるバンコク製「モバイルマルウェア」とは？　F-Secure、パトリック・ルノー氏が語る携帯電話への脅威エフ・セキュアセキュリティ研究所、セキュリティレスポンスマネージャーのパトリック・ルノー氏の来日に伴い、モバイルマルウェアについてお話を伺う機会を得ることができた。現在のモバイルマルウェアは基本的なものが多いが、今後は深刻な影響を引き起こすマルウェアが大量に発生する可能性が高く、iPhoneやandroidがそのきっかけになるという。

●マルウェアの普及はマーケットによって変わる

エフ・セキュアセキュリティ研究所、セキュリティレスポンスマネージャーのパトリック・ルノー氏の来日に伴い、お話を伺う機会を得た。同氏は、全世界のウイルス拡散活動を監視する「F-Secureグローバルウィルス統計システム」の開発から運用を行っているほか、同社初の自動ウィルス定義ファイルアップデートシステムを構築している。今回は同氏に、モバイルマルウェアの現状と今後について伺うことができた。

同氏によると、携帯電話を感染の対象とするモバイルマルウェアは、これまでに401種類が確認されている。そして、このうちの390種類がシンビアン製の「シリーズ60」をターゲットとしたものである。この理由について同氏は「マルウェアの普及はマーケットによって変わります。マルウェアの作成者にとって、ユーザ数が多い機種をターゲットとすることがもっとも効果的なのです。」という。しかしこれらのマルウェアは、まだまだ初歩的なものばかりだという。

表1:モバイルマルウェアのプラットフォーム
◇プラットフォーム　2004
・Palm ……………… 3
・Windows Mobile … 2
・Symbian ………… 22
・J2ME ……………… 0
合計 ……………… 27

◇プラットフォーム　2005
・Palm ……………… 3
・Windows Mobile … 2
・Symbian ……… 141
・J2ME ……………… 0
合計 ………………146

◇プラットフォーム　2006
・Palm ……………… 3
・Windows Mobile … 3
・Symbian ……… 337
・J2ME ……………… 2
合計 ………………345

◇プラットフォーム　2007
・Palm ……………… 3
・Windows Mobile … 5
・Symbian ……… 380
・J2ME ……………… 2
合計 ………………390

◇プラットフォーム　2008
・Palm ……………… 3
・Windows Mobile … 6
・Symbian ……… 389
・J2ME ……………… 2
合計 ………………400
*J2ME:Sun Microsystems社のプログラミング言語「Java 2」の機能セットの一つ、携帯電話等の組み込み機器向けの機能をまとめたもの。

ここ数年では「Cabir」と「Commwarrior」の2種類のウイルスによる大規模な感染が発生したが、どちらも携帯電話をクラッシュさせるようなものではなかった。「Cabir」はBluetooth接続により感染を拡大していくため、せいぜい周囲15メートル程度の範囲にある携帯電話にしか感染できない。また「Commwarrior」は、Bluetooth接続だけでなくMMS（Mobile Messaging
Service）も利用して感染を拡大するため感染被害は広範囲にわたったが、やはり破壊的な動作を行うものではなかった。

それよりも、携帯電話をターゲットとするトロイの木馬が広がっており、携帯電話をクラッシュさせるものもあるため危険度が高いと指摘する。クラッシュさせる対象はテキストや画像、アプリケーション、カメラ、メールボックス、アドレス帳など広範に及び、修理が必要になることも少なくない。また、パスワード上に入り込んでメモリーカードにアクセスできなくなった例もあるという。

表2:モバイルマルウェアのタイプ
◇ウイルス ………… 15%
◇トロイの木馬 …… 78%
◇スパイウェア …… 5%
◇その他 …………… 2%

しかし同氏は「それでも、これらはPCをターゲットとするマルウェアが10〜15年前に行っていた手法と同じといえます。現在のPC向けマルウェアは利益を得ようとし、ユーザに気づかれないように動作します。現状の携帯電話向けマルウェアは感染するとすぐにユーザが気づくものばかりであり、動機も異なり、10代の子供が楽しんでやっているような状況です。」という。

●現在もっとも危険なモバイルマルウェアは「スパイウェア」

同氏は、現状でもっとも危険と思われるモバイルマルウェアは「スパイウェア」だという。携帯電話をターゲットとするスパイウェアは、テキストメッセージのコピーや発信者の追跡、メールの盗難、GPSにより所在場所を突き止める、遠隔地から携帯電話の電源を操作するなど、携帯電話上のすべてのことをスパイすることが可能であるためだ。スパイウェアは、感染したことをユーザに気づかせることなく、携帯電話で起きているすべてのことを特定のサイトに送信する。

ここで、実際にスパイウェアに感染した携帯電話の実演を行った。同氏が取り出したシンビアン3060という機種は、ユーザにはまったくわからないが「Flexy SPY」というスパイウェアに感染している。ほかの電話からこの電話に電話をかけることで感染電話機は自動的に発信に応え、周囲の音声を伝える。たとえば会社の重役の携帯電話を感染させれば、重要な会議の音声をモニタできるわけだ。

シンビアンは多発するマルウェア対策のため、ファイルフォーマットを変更した「3rd Edition」を開発し、セキュリティを強化している。具体的には、シンビアンが承認していないアプリケーションは実行できないという「Sign」という機能が搭載された。しかし、シンビアン3060は、「3rd Edition」を搭載しているにもかかわらず、スパイウェアに感染した。

このからくりについて、「『Flexy SPY』は、タイのバンコクにある会社が制作したアプリケーションですが、シンビアンには携帯電話用のバックアップツール『Mobile BackUp』として申請し、『Sign』を承認させています。実際にバックアップツールとしても使えますが、その裏で『Flexy SPY』をインストールするのです。」と説明する。

「このアプリケーションはWindows MobileやBlackberry上でも動作します。特にBlackberryはモバイルメールに対応していることから米国やカナダの大企業でも多く導入されています。これは企業にとって大きなセキュリティリスクになるでしょう。」と警告する。

●モバイルマルウェアが大量発生する条件は整っている

現在のところ、携帯電話のアプリケーションはユーザがインストールを行わないと実行することはできない。前述の401種類のモバイルマルウェアも、自動的にインストールされるものはひとつもなく、ここがPC向けマルウェアとの大きな違いだ。しかしなぜユーザはマルウェアのインストールを実行してしまうのか、同氏はもうひとつの実演を行った。

Bluetoothなどによってマルウェアが携帯電話に入り込むと、インストールに対する警告が表示される。しかし、ユーザがいくら「No」をクリックしても携帯電話は反応せず、ほかの操作も一切受け付けなくなってしまう。唯一、反応するボタンは「Yes」のみであり、ユーザはやむを得ず「Yes」をクリックしてしまう。「このように、携帯電話でマルウェアを動くようにした大きな過失は、マルウェアを受け取った際のユーザインタフェースの仕組みにあります。」と同氏はいう。

「この問題について、ノキアはインタフェースの修正を行い、「No」ボタンが有効になるようにしました。これはOSメーカーが耳を傾けているいい例だといえます。2006年に急激に増えたモバイルマルウェアは、2007年には1件のみでした。2008年もこのままいけばいいのですが、楽観はできません。現在は『利用ユーザが多い』『豊富な機能を搭載している』『3GやWi-Fiなど接続性が高まっている』という、マルウェアが大量発生する条件が整っています。」

さらにアウトブレイクを促す要素が…

【執筆：吉澤亨史】

【関連記事】
ウイルス作成が趣味から仕事に変わった
− F-Secure 研究所長ミッコ・ヒッポネン氏インタビューその1
https://www.netsecurity.ne.jp/3_10931.html
ウイルス作成が趣味から仕事に変わった
− F-Secure 研究所長ミッコ・ヒッポネン氏インタビューその2
https://www.netsecurity.ne.jp/3_10982.html

【関連リンク】
日本エフ・セキュア
http://www.f-secure.co.jp/
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw