今年の Mobile World Congress は、2 月 24 日から 27 日の会期で開催されています。スマートフォンやタブレットの最新技術が一堂に会し、それが今後 1 年のうちに私たちの前に姿を現すことでしょう。しかし、モバイルデバイスのメーカーやアプリ開発者が毎年技術を競い合うように、マルウェアの作成者も腕を磨いています。シマンテックは 2013 年、Android モバイルオペレーティングシステムを標的としたマルウェアの新しい亜種を 1 カ月当たり平均 272 種類、新しいマルウェアグループを平均 5 つ発見しました。こうした脅威が、さまざまな手口でモバイルデバイスを標的にしており、個人情報と銀行口座やクレジットカードなどの情報を盗み出すほか、ユーザーを追跡する、プレミアム SMS メッセージを送信する、執拗なアドウェアを表示するなどの攻撃を試みます。これまでに確認された顕著な脅威が先駆けとなって、新しいタイプのモバイルマルウェアが出現するかもしれません。
さらに大胆に財布を狙う Android マルウェア
オンラインバンキングやショッピングにスマートフォンとタブレットを使うユーザーは増え続けています。PewResearch が行った最近の調査によると、米国の成人のうちオンラインバンキングを利用しているのは 51% で、オンラインバンキングに携帯電話を使っている率も 35% に達しています。若い世代ほどモバイルバンキングの利用率が高い傾向があるので、時間が経てばさらに普及率は高くなるでしょう。
オンラインバンキング用のアプリと併せて、モバイルデバイスは 2要素認証(2FA)プロセスにも対応しています。ユーザーが PC 上でオンラインバンクの口座にログインしようとすると、モバイルデバイスにコードが送信され、そのコードをオンラインバンキングサイトに入力して初めてそのユーザーの ID が確認される仕組みです。
この方式を理解している攻撃者によって、2FA のコードを盗み出す Android マルウェアが開発されており、Android.Hesperbot や Android.Perkel といったマルウェアは、2FA コードの記載された SMS メッセージを傍受して、攻撃者に直接送信します。オンラインバンキングに関する他の利用者情報も盗み出し、PC ベースの他のマルウェアを組み合わせて被害者のアカウントに侵入します。
モバイルウォレットという概念が普及していることから、この手のマルウェアは今後数年で増加する恐れがあります。実店舗の買い物にモバイルデバイスを使うという考え方はまだ主流ではありませんが、攻撃者がこれに目を付けるのも時間の問題でしょう。
ステルス性の強化 - Android ブートキット
ブートキットは、主に Windows コンピュータを標的にした高度な脅威で使われています。オペレーティングシステムの奥深くで活動し、通常はマスターブートレコードなどコンピュータの起動コードに感染するため、オペレーティングシステム自体の起動より前にマルウェアを実行することが可能です。このような形の脅威を攻撃者が利用すれば、長期間にわたって侵入先のコンピュータに潜伏し、特定のプロセスを検出から逃れるようにすることができます。その結果、脅威のコンポーネントはルートキットやその他のステルス機能によって守られるため、ブートキットは対処が難しい厄介な存在になりかねません。シマンテックが提供している Symantec Power Eraser、ノートン パワーイレイサー、ノートン ブータブルリカバリツールを使って、この手の脅威をコンピュータから除去することができます。
最近見つかったブートキット(Android.Gooboot として検出されます)は、Android デバイスを狙うことがわかっています。Android.Gooboot は Android デバイスのブートパーティションとブートスクリプトを書き換えて、オペレーティングシステムの起動中に起動することができます。これは特に除去が難しいブートキットですが、そもそも感染させるためには攻撃者は物理的にデバイスに触れなければなりません。また、Android.Gooboot は何の悪用コードも伴わず、権限を昇格する機能も持っていません。とは言え、攻撃者がスマートフォンへの感染を試みる手口はますます大胆になっているので、これが Android マルウェアを取り巻く状況について今後の傾向を示しているとは言えそうです。現時点では、ルート権限を取得した携帯電話を購入する際は警戒してください。
モバイルデバイスに侵入する新たな経路
Android マルウェアはユーザーを欺いて Android マーケットから悪質なアプリをインストールさせるのが常套手段です。しかし、アプリの審査が厳密になりつつあるため、攻撃者が悪質なアプリを Android マーケットに送り出すのは以前より難しくなってきました。その代わりに攻撃者は、PC を経由して Android デバイスに侵入することを試み始めており、そこからハイブリッド型の脅威も生まれています。
シマンテックが Trojan.Droidpak として検出する最近の脅威は、まず Windows コンピュータに侵入し、最終的に悪質な Android アプリケーションパッケージ(APK)を侵入先のコンピュータにダウンロードします。ユーザーがこのコンピュータに Android デバイスを接続すると、トロイの木馬が悪質な APK(Android.Fakebank.B として検出されます)を Android デバイスにインストールしようとします。インストールに成功すると、APK は韓国の特定のオンラインバンキングアプリを探して、悪質なバージョンをインストールさせるようユーザーを誘導しようとします。
この脅威を回避するために、信頼できない PC にはモバイルデバイスを接続しないよう注意して、また PC にもモバイルデバイスにもセキュリティソフトウェアを必ずインストールしてください。
もちろん、ハイブリッド型の脅威で狙われる経路は PC ばかりではありません。モノのインターネットが現実のものとなりつつある今、モバイルデバイスを利用してホームオートメーションシステムに、あるいはその逆方向に感染を試みる脅威が登場すると思われます。
増え続けるモバイルマルウェア
モバイルマルウェアは進化を続けています。Windows マルウェアの歴史を手掛かりにすることも多く、最新の技術動向にも常に敏感です。Android マルウェアの作成者の技量が向上していることは、ブートキットのような高度な手口が登場していることからも明らかです。PC を標的としたサイバー犯罪と同様、ほとんどの攻撃者の動機は金銭の詐取です。モバイル決済技術が普及していけば、モバイルデバイスは攻撃者にとってさらに魅力的な標的となるでしょう。パーソナルコンピューティングのためにモバイルデバイスへの依存度が高くなればなるほど、モバイルデバイスの保護は不可欠になります。ノートン モバイルセキュリティなど、定評のあるセキュリティソフトウェアを使って、さまざまな脅威からモバイルデバイスを保護してください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。