iPhoneやAndroid端末に代表されるスマートフォンの話題があふれている。「思い切って機種変更した」「使ってみたい」という人も多いだろう。ところが今は、スマートフォンを安心して使うために必要なセキュリティ対策に関する情報が不足気味だ。スマートフォンでは、従来の携帯電話では不要だった対策が必要になってくる。そこに潜むリスクは大きい。企業でスマートフォンを一括導入するならなおさら、深い知識が欠かせない。

スマートフォンでは、従来の携帯電話では不要だったセキュリティ対策が必要になってくる
スマートフォンでは、従来の携帯電話では不要だったセキュリティ対策が必要になってくる

 今では想像がつかないかもしれないが、パソコンの普及初期に、セキュリティ対策が不要な時期があった。本格的に普及しだしたスマートフォンについても、遠からず同様に振り返る時が来るはずだ。早くも、スマートフォンを標的にした攻撃が見つかり始めているからである。

 スマートフォンを狙う攻撃といわれて、ピンとこないかもしれない。そこでセキュリティ大手、ラックのスマートフォンセキュリティ研究所の研究員である山城重成(しげなる)氏に、iPhoneとAndroid端末を狙う攻撃の一例をデモンストレーションしてもらった。

iPhoneはOSに、Androidはアプリに危険性

 山城氏のデモでは、OS(プラットフォーム)を古いバージョンのままにしておいたiPhoneで、攻撃者が用意したWebサイトにアクセスしてPDFファイルへのリンクをクリックしたところ、それだけで“餌食”となった。

 「攻撃者は、PDFファイルにシェルコード(OSにコマンドを実行させることができる簡易プログラム)を埋め込んでおり、これで古いOSが持つPDF関連のライブラリー(様々な機能を提供する関数群)にある脆弱性を突き、OSの権限を『root(ルート)』[注1]にして乗っ取ります。そしてボット[注2]のプログラムをインストールしてしまいます」(山城氏)。実はiPhoneには通常、アップルのマーケットプレイス「App Store」経由でしかアプリケーションをインストールできないが、OSの脆弱性を突くことでこの制限を外され(jailbreak=ジェイルブレイクと呼ぶ)、ボットをインストールされてしまったのだ。

 侵入に成功したボットを使うと、アドレス帳のエントリーや内蔵カメラで撮った写真、通話履歴、音声メモを取り出せる(図1)。遠隔操作で電話をかけてしまうことも可能だ。

図1●ぜい弱性を放置したiPhoneを狙う攻撃の例
図1●ぜい弱性を放置したiPhoneを狙う攻撃の例
ラックによるデモの一例を示した。「jailbreak(ジェイルブレイク)」とは、iPhoneをアップルによる管理の外に置く状態にすること。
[画像のクリックで拡大表示]

 Android端末を狙う攻撃はひと味違う。

 ある日Android端末に、メールが届く。開いてみると、「このアプリ、とても面白いよ! 試してみて!」というおススメ文が並び、アプリケーションのインストーラーが添付されている。だが、このアプリケーションは攻撃者特製の“ボット入り”。おススメ文に興味を引かれてインストーラーを開くと、「このアプリケーションは、端末のこの機能を使います」という許諾画面が表示される。よくあることなので気にも留めずOKすると、ボットもろともインストールされ、攻撃対象になってしまう。