日本におけるモバイルセキュリティ脅威

PDF

はじめに

2014年のモバイルセキュリティ分野での注目すべきグローバルな傾向は、新たな攻撃の手法が開発された こと、また全般に脅威が高度化しつつあることで、中でも新しく台頭したNotCompatibleの変異型は検知・対 抗手段を免れるための複雑な自己防衛のメカニズムのレイヤーを持っていました1。新しいランサムウェアに よる攻撃も西半球、特にアメリカで大きく勢力を伸ばし、アメリカでは2014年、こうした攻撃が原因でモバイル のマルウェア遭遇率は75%も押し上げられました2。幸いなことに、日本でのランサムウェアはこれほどの猛 威は振るっていないものの、Lookoutは以前、日本でモバイルアプリに仕込まれたランサムウェアを検出して います。これは、マンガを読むアプリとしながら、実際は支払いをしなければ被害者がアダルトコンテンツに登 録した(とアプリが主張している)ことをばらすと脅すだけのものでした3

日本のモバイルユーザーはこのような脅迫の手口に対して用心深く対処することが必要です。国外でランサ ムウェアの威力が証明された現状を考えると、スマートフォンの普及率が高く、モバイル決済が当たり前とな っている日本市場に攻撃者が目を向けることはありうることです。今日、日本におけるモバイル脅威はほとん どがアドウェアベースのもので、それによってモバイルアプリに埋め込まれた悪意ある広告コードが煩わしい 広告を表示したり、気付かれないように個人情報を収集したりするほか、被害者のプライバシーが侵害され るおそれがあります。モバイル端末の持ち主は面白いゲームをダウンロードしているだけだと思うかもかもし れませんが、実際はアプリに入っているその広告コードが水面下で位置情報やモバイルの閲覧履歴を収集 して、国外にある第三者のサーバーに送信しているのです。

昨今、モバイル端末に到達するために攻撃者が使う主な攻撃方法はモバイルアプリ経由です。世界中で何 百万とある入手可能なモバイルアプリの中で、脅威が潜んでいる可能性が高いのは一見普通で、正規版ア プリを装っている、またはダウンロードを促すための魅力的なサービスを提供しているものです。日本では、 こうしたアプリベースの脅威はマルウェアとアドウェアの2種類に分けられ、個人情報を不正に収集してプライ バシーを直接脅かそうとします。

Ackpostsはトロイの木馬で、自身を正規アプリと偽ってバックグラウンドで気付かれないように悪意あるデー タ収集を行うマルウェアの1種です。Ackpostsのようなトロイの木馬はゲームアプリからユーティリティアプリま で、さまざまなタイプのモバイルアプリに埋め込まれているようです。Ackpostsは典型的に、感染した端末か らアドレス帳データを盗み出して第三者に送信し、そこからアドレス帳の相手宛てに迷惑広告や勧誘をスパ ム送信します。

多数のモバイルアプリケーションに隠されたAckpostsが検出されており、以下はその一例です。

ほとんどのモバイルアプリや広告ネットワークは適法なものですが、作り出す広告が煩わしく、プライバシー を侵害するものが一部あります。 モバイル広告は開発者が収益を得やすく、コストをかけずに様々なタイプ のアプリケーションを消費者に提供できるツールですが、ユーザーの興味に合わせた広告を配信するために 大量のユーザー情報を収集します。中には、モバイルエコシステムの中のこうした立場を悪用しているため に、アドウェアとして知られる不正な広告活動に分類されてしまう広告ネットワークもあり、Lookoutはアドウェ アを定義し対抗するための業界基準を設けることに一役買っています4

アドウェアによるモバイル端末への影響は、(1) 端末が再起動するたびに自動ポップアップのような煩わしい 広告を表示すること、および(2) 端末から被害者の個人情報を含む場合もある、行き過ぎた情報収集をする ことが挙げられます。多くのモバイルアプリ開発者がアプリの収益だけが目当てで、すべてが意図的に悪意 ある広告ネットワークをアプリケーションに埋め込んでいるわけではありません。合法的に見えるアプリの多 くがアドウェアを含んでいる可能性があり、そうしたものは無料のゲームやコンテンツ、サービスアプリでよく 検出されています。

幸い、日本におけるアドウェアの遭遇率は2014年には減 少しています。また、アプリのエコシステムにおける不正 なモバイル広告行動に対してGoogleが取り締まりを行っ たおかげで、これは世界中で共通する傾向となっていま す。Leadboltは2014年に最も拡散したアドウェアで、デー タ収集やプライバシー侵害の点では特に攻撃的な形態を 持つものです。以降、Leadboltは広告SDKをアップデート して業界水準に適合させていますが、Leadboltの持つプラ イバシーを侵害するSDKインスタンスは依然として生き残 って放置されています。以下に挙げるものを含め、さまざ まなアプリケーションでLeadbolt由来のプライバシーを侵 害するSDKが数多く見つかっています。

日本のアドウェア脅威Top 5

  1. Leadbolt
  2. RevMob
  3. Spybright
  4. Appayable
  5. LetangPushAd

個人的なデータをモバイル端末から盗み出すアドウェアやマルウェアの脅威は一般的に盗んだデータをホス トサーバーに送信しますが、サーバーが日本に置かれていることは通常はなく、世界中のさまざまな国々に 置かれているようです。下の図は、これらのモバイル脅威によって日本のユーザーから盗まれた個人データ の最初の送信先となることが最も多い地域です。

盗まれたデータの種類:

  • アドレス帳データ
  • GPS位置情報
  • 閲覧履歴データ
  • SMSデータ

データ送信先ランキング:

  1. アメリカ合衆国
  2. 中国

このリストにアメリカと中国が挙がったからと言って、それが必ずしもモバイル攻撃がこうした国から発生して いることを意味するものではないとご理解ください。むしろ、これは盗んだデータの最初の送信先となる攻撃 サーバーの置き場所に攻撃者がどこを選ぶのかを明らかにしているのです。例えば韓国にいる攻撃者が攻 撃サーバーの置き場所を中国にして、このサーバーから日本のモバイル端末に対する攻撃を行うこともある のです。

アメリカと中国は世界の大半にインターネットのホスティングサービスを提供したことに責任がありますが、こ のリストでこの2つの国が上位を占めたという事実は単に良いアプリでも悪いアプリでも同じように当てはまる グローバルなインターネットホスティングの傾向を反映しているだけかもしれません。つまり、アメリカや中国 は、アドウェアやマルウェアアプリが盗み出した個人データがいくつもの国を経由して送られる中での単なる 最初の中継地というだけかもしれません。

アドウェアやマルウェアから安全に身を守るために、Lookoutは次のような予防策をとることをお勧めします。

  1. ダウンロード元は信頼できるマーケットプレイスだけとする
  2. 常識を忘れずに、端末のルート化やジェイルブレイクなど危険な行為はしない
  3. モバイル脅威を識別、脅威から保護できるLookoutのようなモバイルセキュリティアプリを使用する

アプリベースの脅威のタイプ

  1. 新しいNotCompatibleの出現: 巧妙で捉えどころのない脅威が企業ネットワークにダメージを負わせる可能性.” Lookout. November 19, 2014.
  2. U.S. 2013 mobile malware encounter rate: 4% vs. U.S. 2014 mobile malware encounter rate: 7%. See: “2014 Mobile Threat Report.” Lookout.
  3. 日本のみ出回るマルウェアアプリ:マンガリーダーや赤外線Xアプリ.”Lookout. April 16, 2013.
  4. アドウェアへの分類に向けた 45 日間のカウントダウン”. Lookout. May 9, 2013.
Contents
  1. Introduction