現在、日本で広く普及しているスマートフォンのOSは、2種類に大別できます。Appleが開発したiPhoneで動作する「iOS」と、旧Android社を買収したGoogleが開発、提供する「Android」です。ほかにもスマートフォン用のOSはいくつかありますが、デファクトとなっているのはこの2つといえます。両者はビジネスモデルも背景も異なり、顕在化しているリスクも異なります。
スマートフォンの利用に関するリスクには、以下の3つがあるといわれています。
- 紛失/盗難リスク
- 悪質なアプリケーションによる情報漏えいリスク
- クラウド利用における情報漏えいリスク
特に昨年ころから世間を騒がせているのが、悪質なアプリをインストールしたことによる情報漏えいのリスクです(図1)。
アプリをインストールするスマートフォンゆえのリスク
パソコンよりも歴史が短く、重要な個人情報を保持することが多いスマートフォンでは、OSのセキュリティには歴史の長いUNIXをベースにしながら新しいモデルを取り入れており、比較して安全な状態にあります。特にスマートフォンのハードウエア開発者以外の一般ユーザーやアプリ開発者は管理者権限(root権限)を必要とせず、一般的にはroot権限を気にすることなく動作させることができます。
しかし大前提としてアプリをマーケットからダウンロードしてインストールすることを推奨しているため、数多くのアプリをインストールするユーザーがいます。アプリは有料のものもありますが、無料のアプリが多くあることから、無料のアプリをインストールするユーザーが少なくありません。これは企業ユースでパソコンにフリーソフトを入れることと同じ意味です。
ここでスマートフォンの2大OSのうち、iPhoneで動作するiOSのアプリに比べて、Androidのアプリの危険度が高いといわれています。これにはいくつかの原因があります。
- 公式マーケットのGoogle Playでアプリを公開するには、人手ではなく自動的に審査されたアプリが公開状態になります。この審査をうまくすり抜ける方法も開発されています
- Google以外の非公式マーケットなどからダウンロードしたアプリは設定を変更することによってインストールできます。SPAMメールにウイルスアプリへのリンクを張ることで、ユーザーにインストールさせることも可能です