モバイル関連ではAndroidの話題が多い中で、米マイクロソフトのモバイルプラットフォーム「Windows Phone」のセキュリティに関する話題があった。今回は、これから紹介しよう。スロバキアのイーセットのブログである。

 マイクロソフトはモバイル推進において、米アップルや米グーグルと同様に、アプリケーションストアモデルを採用している。マイクロソフトの公式ストア「Marketplace」では配信するアプリケーションについてポリシーを設定し、アプリケーション申請の精査にも取り組んでいる。マイクロソフトは、Marketplaceから問題のあるアプリケーションを削除するだけでなく、Windows Phone搭載端末にインストールされたアプリケーションをリモートで削除することもできる。

 イーセットの見解では、マイクロソフトは申請されたアプリケーションの審査とポリシー適用をうまくこなしている。2012年1月の時点でMarketplaceに登録されているアプリケーションは6万種類を超え、イーセットが確認した削除アプリケーションはわずか4種類だった。つまり不良アプリケーションと良好アプリケーションの比率が1:1万5000ということになり、Marketplaceにおける不良アプリケーションの潜在率は大変低いと考えることもできる。

 ただ削除された4アプリケーションを見てみると、いずれも典型的な不正アプリケーションではない。コンピュータウイルスもなければ、ワームやボット、トロイの木馬型ダウンローダーも含まれていない。Windows Phoneの設計では、アプリケーションは厳重に区分され、OSからも他のアプリケーションからも仕切られている。このため、従来タイプの脅威はWindows Phoneに対応せず、少なくとも多数に影響を及ぼすことはない。

 4アプリケーションのうち、二つは完全な詐欺で、明らかに悪質な開発者に収益をもたらすために作られている。一つは開発者ポリシーに違反したアンチウイルスアプリケーション、もう一つは人気ゲームのクローンで削除理由は商標侵害だった。

 今のところWindows Phoneには一般的なマルウエア対策ソフトウエアは必要ないようにみえるが、不良アプリケーションが審査を通り抜けたことを考えれば、Windows Phone端末にインストールするアプリケーションに対して注意を怠るべきではない。また、これらアプリケーションは、Windows Phoneのような新しい環境を悪用しようと考える集団が必ずしもファイル感染マルウエアや大量メッセージ送信ワームといった旧式の手法を使うわけではないことを示している。

 マイクロソフトは「Windows Phone 7.5」(開発コード名は「Mango」)リリース後に、「今後はアップデートに関する詳細は公表しない」との方針を決めた。Windows Phone端末ユーザーは自身の責任において「Windows Phone Update History」サイトでアップデート履歴を確認し、いつアップデートが可能か端末メーカーやキャリアに問い合わせなければならない。

 アップデートの内容が新機能の追加であればあまり問題ないが、安定性に影響のあるバグを修正するアップデートなら急を要する。悪用される可能性のあるセキュリティホールのパッチとなると一層重大だ。

 次回のメジャーアップデート「Windows Phone 7.6」(開発コード名は「Tango」)では多数の新機能が追加される予定で、その後「Windows Phone 8」(開発コード名は「Apollo」)へとつながる。マイクロソフトはパソコンおよびタブレット端末向け次期OS「Windows 8」については多くを語っているのに対し、Windows Phone 8はかたくなに秘密にしている。

 もしWindows Phone 8が従来バージョンのようなものであれば、Windows Phoneブランドは成長するだろう。あらゆる種類の新たなアプリケーションやサービスが提供され、それには良いものもあれば有益なものもあり、一部は悪質なものも現れる。マイクロソフトが端末メーカーやモバイルキャリア、開発者、消費者および企業ユーザーのニーズに応えつつ、こうしたセキュリティの問題にどのような方法で対処するか、論じるのは難しい。

 Windows Phoneは、米コモドの不正デジタル証明書発行に対処するためのセキュリティパッチの混乱で苦いスタートを切ったが、イーセットが見る限りマイクロソフトはパッチ配信プロセスを大幅に改善している。セキュリティアドバイザリーや修正パッチは常に迅速な対応が求められる作業であり、マイクロソフトとそのパートナーは最新の脅威に対して常にユーザーを保護するための均衡を築いてくれるとイーセットは期待している。しかし、Windows Phone 8が最初のセキュリティパッチをリリースするまで、確かなことは分からない。