携帯電話をはじめ、あらゆるモバイルデバイスは、ダウンロードされたアプリに隠されたマルウェアの脅威をますます受けている。脅威は急速に拡大している。今年は去年のインシデント率の2倍、もしくは3倍にもなりそうだ。Wall Street Journal (WSJ) はこの問題をモバイルWebの新たな暗黒面としてレポートしている。
セキュリティ脅威はデスクトップPCやノートPCのユーザにはおなじみだが、他ではこれまで見られなかったものだ。WSJでは次のような事例が報告されていた。
- 悪意のあるゲームアプリ。Android Marketからダウンロードされたもの。電話にあるすべてのテキストメッセージと個人ノートを消去した。
- iPhoneアプリ。すでにApp Storeからは削除されている。ユーザの連絡帳をベンダーのサーバにアップロードしていた。
- 数々のバンキングアプリ。口座番号とパスワードを捕捉して悪用するために使われた。
- スパイ活動およびハッキング。FBIと米国空軍はいずれも、職員に配布されたBlackberryとスマートフォンにアプリをダウンロードするのを禁止している。(空軍によると、携帯電話における攻撃は1年前には1ダース以下だったが、今年の5月には500件を超えているそうだ。
ZDNetは次のようにレポートしている。
最近の攻撃: アプリが潜伏したマルウェアとともにロードされる。それから数日後、そのアプリがプレミアムサービスに対して自動的に国際電話をかけ始める。
携帯の請求書がやってくると… チャリーン!
これがPCとモバイルにおける攻撃の大きな違いのひとつだ。モバイルの場合、デバイスは月々の請求に結びつけられている。そして、ユーザは攻撃されたことすらわからないかもしれない。携帯の請求書が届くまでは。
Androidデバイスでは悪意のあるアプリに出会う可能性が高いと思い込んでいる人もいる。2、3ヶ月前までは、アプリをふるいにかけて「審査」する責任のある人がマーケットにいなかったためだ。しかしながら、Googleは自分たちのストアが他と比べて攻撃されやすいわけではないと主張し、Android Marketに追加された新しいセキュリティ機能(リモートから悪意のあるアプリを無効にする機能を含む)について説明した。また、BlackberryとiPhoneが影響を受けないわけではないのは明らかだ。RIMとAppleはいずれも、承認して販売していたアプリを、顧客のクレームにより削除しなくてはならなかったことがある。
モバイルマルウェア対策も利用可能だ。これには空軍とFBIによってとられた、アプリダウンロードの完全禁止というアプローチも含まれる。Apple、RIM、Google、その他アプリ配信業者は、ユーザを危険にさらす前に、悪意のあるアプリを検知するための取り組みを加速させている。VerizonのVerizon Business部門にはInvestigative-Responseチームがあり、コンピュータ犯罪を調査研究し、携帯電話とネットワークの顧客に警告とアドバイスを提供している。Financial Services Roundtable(金融サービス円卓会議)のような事業者団体にまで、金融犯罪や悪用を検知して対抗するための部署がある。米国政府は国土安全保障省の後援のもと、既知のセキュリティ脅威と対策のリポジトリとしてNational Vulnerability Databaseという脆弱性情報データベースを管理している。
数々の企業がセキュリティソフトウェアを提供している。これは、ほとんどの人がデスクトップPCやノートPCにインストールしているおなじみのアンチウイルスソフトウェアと同種のものだ。TopTenReviesは独自にモバイルセキュリティソリューションのTop 10ベンダーをランク付けしている。lookoutという企業は今月、自分たちのソフトウェア製品の登録ユーザが100万人になったことを発表した。彼らが6か月でこの目標に到達したという事実は、ユーザの認知と反応が広がっていることを物語っている。Lookoutのレポートによると、「Lookoutユーザの5人に4人はAndroidとBlackBerry上で使っており、残りがWindows Mobile上で使っている」そうだ。(Lookoutがサポートしているシステムはこの3つだけ。)