370万種の魔手が迫る、高度化する「モバイルマルウェア」防衛策：セキュリティ強化塾（3/4 ページ）

[キーマンズネット]

ワンタイムパスワードを突破するパイウェア機能

　次に多いのが、操作情報を盗むスパイウェアだ。有名なスパイウェアに「SpyEye」などがあるが、そのモバイル版と思しきものも登場した。

　ユーザー操作を記録、監視する目的で使われ、例えば、送受信されるメールの宛先や内容、GPS追跡による位置の特定、携帯電話通話の盗聴、保存された写真の閲覧などを行うマルウェアが発見された。SMSメッセージの取り扱いやGPSデータの送信については正規のサービスでも使われるため、目的が何であるかの判断ができず、マルウェアと気付かずにインストールしてしまう恐れがある。

　特に被害が大きい例は、オンラインバンキングの安全性を維持するための2要素認証のうち、ID／パスワード以外の要素として使われるワンタイムパスワードの1つ、「mTAN」認証情報を盗み出すマルウェアが挙げられる。

　mTAN認証は、正当なID／パスワードでサービスにログインすると、登録された携帯端末に向けてSMSで認証コードを送信し、2番目の認証を行うという仕組みだ。携帯端末にスパイウェアがあると、SMS受信した内容が全部攻撃者に送信可能なので、mTAN認証コードが筒抜けになる。

　攻撃者がターゲットのID／パスワードを何らかの方法で入手した場合、スパイウェアで入手したコードを利用して簡単に不正送金などができるわけだ（図3）。もちろん、SMSで本人確認を行う他の全てのサービスでも同じ危険がある。

図3 mTAN認証（ワンタイムパスワード）を突破するスパイウェア機能（出典：マカフィー）

リモート操作で盗撮、盗聴も……継続的な監視と攻撃が可能なバックドア設置

　PCのリモート操作ウイルスと同様に、モバイル端末にバックドアを仕込み、外部のC&Cサーバで常時監視可能にするとともに、リモート操作によりさまざまなマルウェアを送り込んで攻撃を加える手口も備えられるようになった。海外では端末をリモート操作され、盗聴や盗撮が行われた事例もある。

偽セキュリティソフトの被害、ランサムウェアも急増中

　PCで流行した偽セキュリティソフトと同様のモバイルマルウェアも登場した。ウイルスチェックをするという名目のアプリだが、実行すると端末情報などを外部送信する一方で端末をロックして操作ができないようにする。

　偽りのウイルス検知結果を表示し、「正規版の有料製品を購入しないとロックが解けない」と脅迫する。アンインストールしようとしても妨害されて、結局端末をハードウェアリセットせざるを得ない状況に追い込まれる（図4）。

図4 偽セキュリティソフトのモバイル版。（左）偽の検出結果、（中）有料版購入、（右）アンインストール操作を妨害（出典：マカフィー）

　なお、PCの場合と同様に、データを勝手に暗号化し、解除のためには「金を払え」というランサムウェアの登場も予測される。お金を支払ったとしても解除されるとは限らず、また「個人情報をばらまく」という明白な脅迫まで行うことも考えられる。

　さらにランサムウェアによる暗号化を解除することをうたう「解除アプリ」という名の偽アプリで不正行為をはたらくことも考えられるので注意したい。

アプリ署名チェックを迂回（うかい）して正規アプリを改ざん

　2013年は、Androidアプリの安全性を確保する仕組みの1つである「アプリ署名」チェックを迂回し、正規のアプリにマルウェアのモジュールを組み込んで、正規アプリのふりをするマルウェアが発見された。

　Androidアプリには開発者の情報を基に生成したデジタル署名が必ず施され、OSや他のアプリは署名をよりどころとして相手を信頼してデータを共有する。同じアプリのバージョンアップ時には正規の開発者の署名がある場合のみ更新できるため、改ざんを防げるという仕組みだ。

　しかし、実はAndroid自体に署名チェックに関する脆弱（ぜいじゃく）性があった。攻撃者は脆弱性を利用して、元の署名を有効にしながら、中身を改ざんする手法を編み出した。正規アプリのバージョンアップを装った改変が行われると、ユーザーはまったくそれと気付くことなく、裏で行われる情報送信のことなど露知らず、正規アプリのままのつもりで使い続けてしまう。

　他にも海外では、高額な有料SMSに勝手に接続して課金するモバイルマルウェアが猛威を振るった。図2右に見られるような各種の機能をもつマルウェアにも注意したい。既にPCとほぼ同様と言ってよいほどの脅威が存在する。

　また、モバイル端末からPCにウイルス感染を図るマルウェアが発見された。かねてPC利用で問題になったUSBデバイスからのオートランウイルス感染と同じことがモバイル端末の接続でも起きるわけだ。

　今後は、企業で普及するBYODをよい機会として、ネットワークを経由して会社の深部にある重要情報を奪おうとするものも出てくるかもしれない。逆に、PCに感染し、接続されるモバイル端末に不正アプリをインストールするウイルスも登場した。

　さらに、標的型攻撃メールを利用して添付ファイル（ウイルス）に感染させたり、不正URLからのモバイルマルウェアダウンロードを誘ったりするケースにも注意が必要だ。

　今後は、端末に備わるNFC（近距離無線通信）機能や、顔認証、指紋認証、虹彩認証などの生体認証の脆弱性を突いた攻撃による情報流出などが懸念され、脅威の理解と対策はますます重要になる。