ロシアのカスペルスキーラボは、米グーグルの新たなアプリ販売/配布サイト「Android Market」にセキュリティ上の問題があると指摘した(「The dark side of the new Android Market」)。パソコンのWebブラウザーからの操作だけで、Android端末にアプリケーションをインストールできてしまう点だ(関連記事:GoogleのAndroid端末向けアプリ販売/配布サイト、パソコンからアクセスできるWeb版も開設)。

 Android端末へのアプリ遠隔インストールは、端末にひも付けられたGmailアカウントでユーザー認証してから実行する。対象となるAndroid端末がインターネット接続した状態になると、Android Marketからの指示に従って、すぐにインストールが始まる。インストール許可はパソコンのWebブラウザー上で求められるだけで、Android端末では何も確認されない。

 自分の端末のことだけを考えれば、確かに便利な機能である。ただこの機能は、Gmailアカウントの持ち主だけでなく、他人のGmailアカウントを不正取得した人にとっても便利である。他人のAndroid端末に許可なくAndroid Marketからアプリをインストールできる。さらにAndroid用アプリには様々な機能が用意されており、その多くは悪用可能だ。

 カスペルスキーラボによると、Android Marketのアプリ遠隔インストール機能を停止する方法は見つからなかったという。

モバイル機器のセキュリティ確保

 モバイル端末のセキュリティの問題は、徐々に深刻になってきている。高性能なスマートフォンやタブレット端末の増加に伴って、サイバー攻撃の標的にされやすくなったためだ。ただ、パソコンと比べて新しい分野であるため、ユーザーはリスクに対する認識が甘く、必ずしも身を守る術を理解していない。そこでフィンランドのエフセキュアは、モバイル機器を安全に使うためのヒントをまとめた(「Mobile Security Tips」)。

 まず大切なのは、パソコンの場合と同様に、OSのアップデートを怠らないことだという。OS更新で最新の機能を使えるようになるうえ、セキュリティも向上する。さらにセキュリティソフトを利用するとよい。

 Webサイトにアクセスする際には、個人情報の不正取得を目的とするフィッシングサイトかもしれないので用心が必要だという。Webサイトで重要な情報を入力する場合は、URLが「https」で始まっているかどうか確認しよう。

 公衆無線LANの使用も注意すべきだ。接続しているアクセスポイントが安全とは限らない。そこで、利用時には重要な情報の通信を避けるとよい。

 スマートフォンの楽しみの一つは豊富なアプリケーションである。とはいえ、悪質なものが多くあるので、インストールするのは信頼できる配布元からダウンロードしたアプリに限定したほうがよい。そして、アプリケーションがスマートフォン内のどのようなデータにアクセスしているかも気にしておくべきだという。

ID盗難を6種類に分類

 次に、米マカフィーがまとめたID(身元情報)盗難の分類を紹介する。ID盗難はマルウエア感染などの結果として発生するが、それぞれのインシデントを見てみると、内容や目的は様々。マカフィーはその行為を6種類に分類した(「The 6 Types of Identity Theft」)。

(1)偽アカウントの新規作成:別人のIDで携帯電話やクレジットカードを入手したり、電気や水道、ガスなどを契約したりする。商品やサービスをだまし取ることもある

(2)既存アカウントの不正使用:別人のクレジットカード番号で商品やサービスを得たり、銀行口座から貯金を引き出したりする

(3)別人として犯罪に加担:別人として犯罪を行う。IDカードに他人のIDを記載し、写真だけ自分のものを組み合わせる犯罪者が多い

(4)医療関連情報の窃盗:氏名や保険に関する情報を不正使用し、医療に関するサービスや商品を得る。被害者の生命を危険にさらす行為である

(5)企業情報の窃盗:企業名をかたって不正取引や不正請求を行う。従業員や退職者といったインサイダーの関与例が多い

(6)なりすまし:あらゆる種類のID盗難を包含しており、故意に別人の名前をかたって様々な不正を働く

 IDを守るには基本的な予防策が大切と指摘する。しかし、企業やその他組織に提出したIDを自分で管理して守ることは難しい。そこでマカフィーは、各種情報の流出がないかどうか監視できるセキュリティ製品の利用を薦めている。

食品加工装置ベンダーを集中攻撃する「Darkshell」

 最後に全く別の話題。特定の業界を狙った攻撃という、ちょっと変わった話だ。Stuxnetをはじめ、最近は特定の領域を狙った攻撃が目立つようになってきた。

 米アーバーネットワークスは、分散型サービス妨害(DDoS)攻撃を仕掛けるボット型マルウエア「Darkshell」の興味深い特徴をブログ「Darkshell:A DDoS bot targetting vendors of industrial food-processing equipment」で紹介している。このボットの特徴は、攻撃対象が食品加工装置のベンダーに集中していることだ。

 Darkshellは、小さなサイズの実行可能ファイルとして配布される。配布元となるWebサイトの大半には、中国のものとみられるIPアドレスが割り当てられていた。

 Darkshellはパソコンに入り込むと、一般的な方法で感染する。まず自らのコピーを「C:\Windows\System32」フォルダーに入れ、パソコンの起動時に自動実行されるようサービスを登録する。そして多くの場合、「C:\Windows\System32\drivers」フォルダーに「beep.sys」という小さなドライバーファイルを作る。この目的は、システム用サービスのアドレス格納テーブルSystem Service Descriptor Table(SSDT)をフックして、ウイルス対策ソフトから身を隠すためだろう。

 感染に成功したDarkshellは、ボットネット制御(C&C:command-and-control)サーバーと通信を始める。C&Cサーバーは、「待機」や「攻撃開始」といった命令を返す。ボットによる攻撃は、攻撃対象への大量のHTTP GETリクエスト送信で行う。なおアーバーネットワークスによると、これまでにC&Cサーバーとして少なくとも30種類のホスト名と34種類のIPアドレスが確認できた。IPアドレスのうち32種類は中国のものだったという。

 アーバーネットワークスが約3カ月間Darkshellボットネットを監視したところ、攻撃対象は97カ所あった。国/地域別の内訳は、中国が65カ所、米国が23カ所、香港が4カ所、韓国が3カ所、オランダが1カ所、スウェーデンが1カ所。特徴的なのは、攻撃対象のほとんどが食品加工装置を手がける小規模メーカーのWebサイトであることだ。攻撃の中には、1回で60時間以上続いたものがある。さらに、狙われた食品加工装置メーカーの大多数は繰り返し攻撃を受けていた。

 最新の攻撃手法は使われていないが、攻撃対象は激しい攻撃にさらされてWebサイトの停止に追い込まれる。広いインターネット内からこれほど小さな分野を選んで集中攻撃する意図は、推測するしかない。