370万種の魔手が迫る、高度化する「モバイルマルウェア」防衛策：セキュリティ強化塾（4/4 ページ）

[キーマンズネット]

モバイルマルウェアから身を守る対策とは？

　モバイルデバイスの企業利用におけるセキュリティには、MDM（Mobile Device Management）やMAM（Mobile Application Management）が有効だ。本稿では、モバイルデバイスを利用する従業員全員に知ってもらいたい対策知識について記す。

　言うまでもないが、Android端末にはアンチウイルスツールの導入は必須だ。導入後も決してアンインストールせず、企業ポリシーに沿った設定で利用して、パターンファイル更新やバージョンアップには迅速に対応するよう徹底する必要がある。

　現在のアンチウイルスツールは、アプリの信頼性をレピュテーション（評価）ベースで判断する技術やアプリの自動解析技術を進化させ、未知の脅威に対してより迅速に対応できるようになった。PC用ツールへのフィードバックやその逆も行われる。

　不正アプリの多くは非公式のアプリストアで配布される。よく知らないストア、「Gcogle Play」（公式ストアと1字違いの偽ストア＝かつて不正アプリ配布のために使われた）のような怪しいストア、アダルトコンテンツなどが異常に多いストアなどから決してアプリをダウンロードしないように指導したい。

　また、署名チェックを迂回するアプリについてはGoogle Playはいち早く対策して現在は安全だ。しかし、他の企業が運営する「公式」アプリストアでは脆弱性対策がすぐにとられるとは限らないことにも注意したい。

　Google Playからのダウンロードに限れば、（安全とは言えないものの）危険を減らすことはできる。また、自社情報システム部門が開発、検証したアプリであれば、まずは安全と考えられる。可能なら検証済みのアプリだけを利用する運用の方がセキュリティ上は安心だ。

　最も肝心な知識と対策が「パーミッション」を適切に行うことだ。そもそもAndroidのAPIやリソースは標準でアクセスが許可されておらず、アプリはAPIやリソースに対して必ず利用許可をもらわなければ使えない。

　許可を与えるのはユーザーであり、アプリのインストール時に画面に表示される「このアプリケーションに以下を許可しますか？」というメッセージと、それに続く許諾（パーミッション）項目リストを判断して、アプリのインストールの可否を決めなければならない。

　ちなみにアプリ開発側で作り込める機能で、パーミッションが必要なものには次のようなものがある（一部のみ）。

表1 Androidのパーミッション項目の例（出典：マカフィー）

　表から分かるように、全ての機能を許してしまうと、ほとんど端末を乗っ取られたようなものだ。ユーザーはアプリを早く使いたくて、ろくに表示を確認もせずに許諾してインストールすることがある。特にSMSは端末管理のためにも用いられるので、SMS機能へのアクセスが求められたら即座に許諾する人も多い。

　管理者としては、少なくともエンドユーザーに「アプリの本来の機能とはかけはなれた許可を求める場合（例えば、壁紙表示アプリなのにGPS情報を求めるなど）はインストールしない」という程度の注意を繰り返し行うべきだ。余裕があれば、利用してよいアプリを推奨する必要がある。

　以上、今回は特にAndroid端末に関する脅威と対策について紹介した。なお、マルウェアに感染したアプリのダウンロードで最も多いのが「ゲーム」、以下「カスタマイズ」「ツール」「音楽」「ライフスタイル（アダルトコンテンツ）」だ。こうしたアプリのダウンロード時には、特に注意が必要だ。