スマートフォンは、パソコンに匹敵する機能を備え、豊富なアプリケーションを利用できることから、世界中の消費者の注目を集めている。中でもAndroid OS搭載のスマートフォンは、日本でも続々と発売され、市場の盛り上がりが見られる。その一方で、サイバー犯罪者の注目も集まり、攻撃の対象になりつつある。

正規アプリになりすましAndroidを狙う不正プログラム

 トレンドマイクロは、2010年8月上旬、Androidを標的とする初のトロイの木馬型不正プログラム「ANDROIDOS_DROIDSMS.A」(※1)を確認した。この不正プログラムは、"Windows Media Player"のアイコンを利用して、自身を偽装する。ユーザーは、このプログラムが動画再生ソフトと思い、不正であると気付かずにスマートフォンにインストールしてしまう。不正プログラムはインストールの際、ユーザーにデバイス上でのアクセス権限の許可を求めてくる。その中には、ショートメッセージサービス(SMS)のメッセージ送信への権限(「android.permission.SEND_SMS」パーミッション)も含まれている。不正プログラムは、これを悪用し、ユーザーのデバイスに既定されているショートメッセージサービスセンター(SMSC)を介して特定の有料番号にテキストメッセージを送信する。ただし、その後の解析により、この不正プログラムにはエラーがあり、有料番号へのテキストメッセージ送信ができないことが確認された。

 「ANDROIDOS_DROIDSMS.A」の登場後すぐの8月中旬、Androidを狙った別の不正プログラムが確認された。この不正プログラムは、“Tap Snake”という名前で、正規のアプリケーションを装い、Googleが運営する「Android Market」で配布されていた。トレンドマイクロ製品は「ANDROIDOS_DROISNAKE.A」(※2)として検出する。このTap Snakeは、ユーザーの位置情報を不正に送信する機能を備えている。この機能により、不正リモートユーザーは、“GPS SPY”という別のAndroid OS用アプリを利用して感染ユーザーの位置情報を把握できる。

Androidを狙う不正プログラムによる情報収集活動

 さらに2011年に入ってすぐ、また別の不正プログラム「ANDROIDOS_GEINIMI.A」(※3)が確認された。Geinimiは、中国の非公式アプリケーションダウンロードサイトで公開された。正当なアプリケーションとセットの状態で公開され、アプリケーションをダウンロードすると、同時にダウンロードされるようになっていた。

図1●「ANDROIDOS_GEINIMI.A」の感染フロー
図1●「ANDROIDOS_GEINIMI.A」の感染フロー

 Geinimiは、感染したスマートフォンにインストールされているアプリケーションや実行中のアプリケーションなどのほか、以下の情報も収集する。

・契約者情報
International Mobile Subscriber Identity (IMSI) 番号、SIMカードのシリアル番号、ネットワークサービスプロバイダー名など
・モバイル機器情報
International Mobile Equipment Identity (IMEI) 番号、製造者、機種モデルなど
・GPSによるユーザーの位置情報

 さらに、指定されたサーバーにアクセスして不正リモートユーザーからの命令を待ち受ける「ボット」の性質を備えているため、「アプリケーションのインストール」や「インストールされているアプリケーションの削除」といったコマンドをリモートから実行できる。スマートフォン内に保存された連絡先情報やメールのメッセージ、SMSのメッセージを読み込むなどバックドアの機能や、感染スマートフォンに他のアプリケーションをダウンロードして実行するダウンローダーの機能も備えている。これにより、マルウエアに感染したスマートフォンがさらに別の不正プログラムに感染する可能性がある。

アプリケーションのダウンロードに注意

 スマートフォンなどのモバイル機器がユーザーの注目を集める主な理由の一つに、多種多様なアプリケーションを利用できることが挙げられる。そのため、アプリケーションを提供する窓口であるダウンロードサイト(マーケット)から安全でないアプリケーションが配信された場合、ユーザーは危険にさらされやすい。

 Geinimiは中国の非公式のダウンロードサイトから配信されていたが、ほかにも様々なアプリケーション提供サイトが感染経路になり得る。米グーグル自身が運営する正規の配布サイト「Android Market」も安全とは言い切れない。事実、位置情報を盗むTap Snakeこと「ANDROIDOS_DROISNAKE.A」は、Android Marketで配布されていた。不正プログラムのコードが簡単に再パッケージされ、Android Marketから正規のアプリケーションとして配布される可能性も捨てきれない。Android Marketは、誰でも自由に参加」できるうえ、「登録、アップロード、公開」の3ステップですぐに開発したAndroid用アプリケーションを配布できる(※4)。

 こうした中、グーグルも、Android Marketの顧客を不正アプリケーションから守るために必要な予防措置を講じている。例えば同社は、Android Marketの利用規約として、許可なしでアプリケーションに第三者の名前を使用し配布することを禁じている。この規約に違反する疑わしいアプリケーションをいくつか確認し削除した実績もある。実際に、開発者とは関係ない正規の銀行名が使用されていたという(※5)。

 そしてもう一つ、「Androidはオープンソースである」ことを心にとめておく必要がある。オープンソースであることから、サイバー犯罪者が公開されているアプリケーションの基本的な構造およびソースコードを把握し、それらを不正活動に利用できる。米アップルの「iOS」などとの大きな違いだ。

 Android OSに限らず、自由度が高い環境、デバイスにはセキュリティ上のリスクを伴うことを前提に、アプリケーションのダウンロードには細心の注意を払うことが大切である。特に、非公式のアプリマーケットで配信されている疑わしいアプリケーションには慎重になる必要がある。さらには、スマートフォンが備えている各種セキュリティ機能を活用して不正プログラムへの感染を避けるとともに、アプリケーションはAndroid Marketのような正規サイトからダウンロードすることをお勧めしたい。正規のマーケットからダウンロードする際にも、事前に他のユーザーの評価やコメント(USER REVIEWS)を読み、安全性を確認することも有益である。また、ダウンロードしようとするアプリケーションがインストールの際にどのような許可を求めてくるかなどの情報を確認することも有効な対策となる。

 スマートフォンを狙う攻撃から大切な情報と機器を守るためには、総合的な防御を提供するセキュリティ対策製品の導入が必要になってきている。Android向けの製品も各社から出揃い始めており(※6)、今後、対策製品がさらに充実してくることが期待される。

[参考]
●今回の脅威に関するウイルス情報
※1 「ANDROIDOS_DROIDSMS.A」ウイルス情報
※2 「ANDROIDOS_DROISNAKE.A」ウイルス情報
※3 「ANDROIDOS_GEINIMI.A」ウイルス情報

●関連情報
※4 Androidマーケットによる情報。「Android マーケットには、Android アプリケーションのデベロッパーならばだれでも参加できます」とある
http://market.android.com/publish/
※5 eWeek.comによる情報 「Google Removes Suspicious Mobile Apps from Android Market」(英語)
http://www.eweek.com/c/a/Security/Google-Removes-Suspicious-Mobile-Apps-from-Android-Market-758811/
※6 米トレンドマイクロが提供する「Trend Micro Mobile Security for Android」について
http://jp.trendmicro.com/jp/about/news/pr/article/20110112023725.html

Copyrights (C) 2011 Trend Micro Inc. All rights reserved.
本記事の内容は執筆時点のものであり、含まれている情報やリンクの正確性、完全性、妥当性について保証するものではありません。
◆このコラムでは、トレンドマイクロのウイルス解析・サポートセンターであるフィリピンのトレンドラボの研究者が、最近のセキュリティインシデントについて解説します。記事はすべて新たに書き下ろしたものです。