気になり始めたiPhoneやAndroidのセキュリティ

日経コミュニケーション

2010.09.13

　いつもより早い時間に帰宅すると、娘が受験勉強もせずにiPadを眺めている。「何を見ているの？」と尋ねると、地理の調べ物だという。以前からパソコンを子どもにも使える状態にしてあるのだが、それにはほとんど関心を示さなかったくせに、iPadがやってきた途端、独り占め状態でネットを使い始めた。ずっと抱え込んで使っているところをみると、本当に勉強に使っているのかどうか怪しいものだ。あ～ぁ、志望校への道のりが…。

　こんなシーン（受験ではなくネット利用）がごく普通になってきている一方で、最近、iPhoneやiPad、Android端末などのセキュリティが盛んに取り沙汰されるようになってきた。セキュリティと一口にいっても幅広いが、ここで言っているのはセキュリティホールとか、ウイルスに関連した話だ（関連記事：iPhone、Androidに迫る危機）。

　組み込み機器、特にスマートフォンについては、以前からたびたびセキュリティが話題に上っていた。ただ、ユーザー数自体が少なく、攻撃者があまりターゲットにしていないこともあって、発見されるぜい弱性の数自体が少なかった。そのうえ、ぜい弱性が発見されても攻撃の実現可能性が低いなど、あまりユーザーの意識が高まる状況にはなかった。

　iPhoneやiPadについても、パソコンと比べてユーザーが操作できる内容に制約があり、不安を減らす要因の一つになっている。あとからインストール（ダウンロード）できるアプリケーションは、米アップルの割と厳しい審査を経たもの。しかもそれぞれのアプリケーションからは、他のアプリケーションが管理するデータ領域にはアクセスできない。つまり、ウイルスが紛れ込んでも危険な操作を実行されにくい。

　とはいえ、自分はもちろん、家族も使っているネット環境で、パソコンのようなセキュリティ対策を施していないにもかかわらず、注意喚起（ラックの注意喚起）されたのだ。さすがにだんだん恐くなってきた。

次に狙われているのはiOSやAndroid

　もとよりiPhone/iPadに、攻撃の糸口が全くないわけではない。例えば「Safari」（Webブラウザー）や「iOS」など、標準搭載されているソフトのぜい弱性を悪用して、ファイルシステムを自在に操作できるようにしてしまう方法がある。こうした操作は“Jailbreak”（脱獄）と呼ばれる。Jailbreak用のプログラムはインターネットで公開されており、その手順まで紹介されている。

　Jailbreakはユーザーが意図的に実行するもので、iTunesを使ってJailbreak用のプログラムを入手しなければならず、この操作をしなければウイルスも恐くないはずだった。ところが、PDFを悪用してiOSのぜい弱性を突く、攻撃方法が見つかった。Webやメールを介して細工を施したPDFファイルにアクセスすると、不正なプログラムを送り込まれる。つまり、ユーザーはWebサイトやメールを見ただけでウイルスに感染する可能性がある。ここにJailbreakを実行するプログラムを悪用すれば、あとは攻撃者の思いのまま。誰もが携帯電話に記憶させている個人情報を盗まれたり、踏み台に使われたりと、パソコンを狙われた場合と同じ状況に陥る。

　まだ、そういうウイルスが発見されたわけではない。しかし、これだけネット端末が増えて、利用する場面が目立ってくると、Windows OSやAdobe Readerなどと同様に、多くの攻撃者が狙いを付けてくることは容易に予想できる。

　アプリの審査がないAndroidはもっと危険かもしれない。実際、Android端末に関しては、不正プログラムが見付かっている（ロシアのカスペルスキー・ラボは「Trojan-SMS.AndroidOS.FakePlayer.a」と名付けた）。

「ファジング」で組み込み機器のぜい弱性を検出

　とにかく、iPhone/iPad、Android端末は、パソコン以上に次々に新しいアプリケーションをインストールする可能性が高い。iPhoneのJailbreakのように攻撃者に誘導されるまでもなく、不正なアプリをインストールしてしまう危険性があるわけだ。

　ユーザーにできる対策はあまりない。iPhone/iPadならアップル、Androidならグーグルや各端末メーカーが提供する修正プログラムをチェックし、できるだけ早く適用することくらいである。となれば、ベンダーの素早い対応は欠かせない。

　最近は、組み込み機器のぜい弱性を見付ける手法が、徐々に確立されてきた。一つの方法は「ファジング」と呼ばれるもの。様々なパターンのパケットを投げてエラーを発生させ、その振る舞いから、どこにぜい弱性があるかを突き止める手法である。どんなソフト/システムのぜい弱性検知にも有効な手法だが、ソースコードがなかったり、構造が分からなかったりする組み込み機器には特に効果的である。ベンダーには、こうした手段を駆使して、今からセキュアな端末作りに取り組んでほしいと思う。

　ちなみに、ファジングについては10月18日に開催するITpro EXPOの「テクノロジーブレイクスルー」で、フォティーンフォティ技術研究所の鵜飼裕司社長に講演していただくことになっている。少々朝早いセッションだが、興味がある方は、ぜひ、ご参加いただきたい（申し込みはこちらから）。