フィンランド エフ・セキュアのパトリック・ルノー クアラルンプール研究所長は,セキュリティレスポンスマネージャーで同社のウイルス研究における重要人物だ(同研究所はアジア太平洋地域を担当)。来日した同所長に,携帯電話を狙うマルウエア(悪質なプログラム)の現状と,今後の携帯セキュリティに対する予測を聞いた。
携帯電話を狙うマルウエアの数を教えてほしい。
 エフ・セキュアのパトリック・ルノー クアラルンプール研究所長 [画像のクリックで拡大表示] |
種類別に見ると大半はトロイの木馬だ。携帯電話のカメラやメールなどのアプリケーションを破壊したり,ストレージ上のコンテンツにアクセスできないようにするためメモリー・カードにパスワードを設定したりする。そして,ユーザーが感染したことがはっきり分かるという共通点がある。
マルウエアのなかには,感染するだけのワームもある。最初の携帯電話ウイルスである「Cabir」は,Bluetoothを通じて感染するだけ。ただし感染するとバッテリが30分程度で切れてしまうので,ユーザーも気が付く。これが「CommWarrior」というワームになると,メール(MMS)を使って拡散しようとするので,ユーザーは余計な支出を強いられる。大量のメッセージが送られるため,通信事業者のネットワークにも余計な負担をかける。
401個のマルウエアはいずれも,ユーザーが「インストールを選ぶ」といった操作をすることを必要とする。このあたりは,Webサイトにアクセスするだけでマルウエアに感染することもあるパソコンとは違う。
携帯OSメーカーのシンビアンは,ウイルス感染防止の取り組みを進めている。「S60 3rd」と呼ぶプラットフォームには認証の仕組みを設けた。シンビアンによる認証がないアプリケーションが動作しないようにしたのだ。マルウエアは“Unsigned”なので動作しない。おかげで,マルウエアの増殖の勢いはスロー・ダウンしてきている。Windows Mobileは,通常のWindowsに比べるとぜい弱性も少ない。必要であれば,認証についても同じ制約を設けられる。
携帯マルウエアについては“ひと安心”ということか。
そうとも言い切れない。シンビアンの認証を受けても動作してしまうものがある。スパイウエアだ。例えば,タイで開発された「FLEXISPY」というツールがある。認証をもらうために,「スパイではなくバックアップ目的」という名目で,シンビアンにツールを提出した。実際,このツールは携帯電話のメールや通話記録などをバックアップしている。しかしバックアップというが,「そのバックアップにアクセスするのは誰か」ということが問題なのだ。
FLEXISPYは,夫や妻が自分を裏切っていないか,子供が何をしているか,社員が何をしているかなどを調べられると銘打って販売している。そういう用途もあるだろうが,購入して黙って他人の携帯電話にインストールすれば,それはスパイ行為になる。携帯電話のタスク・マネージャには何も表れない。
FLEXISPYを入れた携帯電話に,ほかの携帯電話から電話をかけると,携帯電話の呼び出し音を鳴らさずに外部から会話を聞くよう設定できる。携帯電話の応答ボタンを押さなくても,勝手に電話を受けてしまう。着信時に携帯の画面には何も表示されず,通話記録にも残らない。盗聴されても兆候が分からないのだ。
エフ・セキュアがFLEXISPYをスパイウエアと判定したことに対してツールの開発元から抗議は。
来た。そこで我々は,開発元と協議してFLEXISPYを再評価した。結果は「やはりスパイウエア」だ。携帯電話に何らかのサインが表示されれば評価は違うかもしれない。私はあらためて,認証されたアプリケーションだけが動くS60 3rdの携帯電話にこのツールをインストールしてみた。しかし何も表示されない。このツールは,携帯電話がGPSを搭載していると,その機能を使って(携帯電話を持つ人の)居場所を判断することもできてしまう。
携帯電話でいま一番怖いのは,スパイウエアだと思う。FLEXISPYとは別のものだが,入り込んだ携帯電話に届いたテキスト・メッセージをコピーして,別の携帯電話に送信してしまうものもある。金融サービスなどの2要素認証でテキスト・メッセージを使ったりしていると,それを読まれてしまいかねない。
携帯電話は進化し続けている。この先マルウエアはどうなっていくと思うか。
例えばiPhoneは,格好も操作性もよく,米国ではスマートフォンのマーケットシェアの20数パーセントをとっていると聞く。これまでに,シンプルなiPhone向けトロイの木馬が出ているが,サードパーティのアプリケーションをインストールするにはiPhoneをハッキングしなければならない。アップルからくるものを除けば,これまでは“閉じられた”デバイスだった。
ただ数週間前にSDK(ベータ版)が公開された。6月にOSがバージョン2.0になると,サードパーティのアプリケーションをダウンロードできるようになる。それを見てみないと分からないこともあるが,私はiPhoneのセキュリティ問題を懸念している。SymbianやWindows Mobileは携帯電話用のOSだが,iPhoneのOSはカーネルもネットワーク・スタックもMacintoshのラップトップやデスクトップと同じ。Webブラウザも同じ。つまり規模が大きいOSなので,かなりのぜい弱性が既に発見されている。
携帯マルウエアは,ユーザーがインストールしなくてはいけなかったことで,拡散の防止につながってきた。マルウエアを自動的にインストールしてしまえる有効なぜい弱性は,これまでなかった。しかしこれを可能にするぜい弱性は,iPhoneではいくつかではあるが見つかっている。これまでは閉じられていたことで安全性が確保されてきたが,オープンになることで予測がつかなくなる。
OSの特性の違いは,セキュリティ対策にどう影響すると思うか。
個人的には,iPhoneを狙うマルウエアが出てくると見ている。このデバイスのセキュリティ・モデルは認証ベースだ。アップルは証明書を開発者に発行して,アプリケーションが悪さをすれば証明書を取り消す。ただFLEXISPYみたいなものが現れるかもしれない。SDKはデバイス上にあるものには何でもアクセスできる。ネットワーク,アドレス帳,電話機能などだ。iPhone用のセキュリティ製品はないが,注意深く様子を見ていく必要があるだろう。
Androidも状況は同じだ。ベースはLinuxなので,パソコンと同じOSが動く。日本ではLinuxベースの携帯電話が多数出回っているが,一国のことであり全体で見れば多くない。だがAndroidを搭載した携帯電話が世界中に広がっていけば,多くの携帯電話が同じOSを搭載することになる。悪意ある者の興味が増すわけだ。iPhoneやAndroidに向けた携帯セキュリティ・ソフトは検討しているが,これまではSDKもなかった。今は状況をモニタリングしている段階だ。
こうしたマルウエアに対処するにはセキュリティ・ソフトが必要だが,インストールすることでデバイスの動作が重くならないか。
第1世代は遅かったが,合理化していまはずっと速く,軽量になっている。我々は1999年から携帯マルウエアの調査に乗り出し,最初の製品を世に送り出したのは2001年だ。モバイル・セキュリティに関してはパイオニアであり,リーダーだと自負している。制約がある携帯電話のなかで豊富な経験を生かしている。
日本では携帯用のセキュリティ・ソフトをまだ展開していないが,予定はある。
セキュリティの観点から日本の携帯電話が特徴的だと思う点は何か。
ほとんどのマルウエアの報告は,東南アジアと欧州に集中している。日本の携帯電話事業者は,デバイスに何をインストールしてよいかという点でかなり厳しいと思う。アプリケーションの承認など,端末に何をインストールしていいかを厳しく定めている。これは良いことだと思う。
携帯電話の使い方の面で,日本は他国に先行している。モバイルでテレビを見たり,タクシーの料金を支払ったりする使い方はほかにはない。しかしデバイスでお金を扱う場合は,気を付けなくてはいけない。
いずれは,日本にもiPhoneが入ってくるかもしれない。そのときに,携帯電話事業者がこれまでと同様に厳しく制約を課すことができるかどうか。この点は非常に興味深いところだ。
