図. モバイルマルウェアの歴史
2014 年は、モバイルマルウェアが登場してから 10 年目に当たります。2004 年に
SymbOS.Cabir の最初の亜種がセキュリティ研究者の元に届けられたのがすべての始まりです。解析の結果、このワームは Symbian OS を標的にすることが判明しました。Symbian は、当時非常に人気を博していたオペレーティングシステムです。SymbOS.Cabir に感染した携帯電話は、付近で検出モードになっている Bluetooth 対応デバイスを探し、見つかったデバイスにそのワームを送り付けようとします。ユーザーが手動でファイル転送とインストールを承認しない限り、SymbOS.Cabir はデバイスに感染できませんでした。デバイスが近距離になければ被害は発生せず、ワームとのやり取りも必要だったため、ワームの拡散は限られていましたが、これはほんの始まりに過ぎませんでした。異なる変更が加えられた Cabir の亜種が出回るようになり、電話帳情報などのデータを盗み出す亜種や、従来型のウイルスのように動作してローカルファイルに感染する亜種も現れたのです。
その数カ月後には、Mosquito というゲームをクラックしたバージョンがインターネット上に登場しました。この人気ゲームとともにパッケージに含まれる
Trojan.Mos が、バックグラウンドでプレミアムテキストメッセージを送信する仕組みで、金銭的な儲けに特化したモバイルマルウェアが広く確認された最初のケースです。今でも、トロイの木馬が仕掛けられた何百という Android 用ゲームで同様の手口が使われており、インストールすると高額のテキストメッセージが送信されます。Trojan.Mos のすぐ後には、
Skull の最初のバージョンが出現しました。Skull というのは、メインのペイロードにちなんだ命名で、ほとんどのアプリのアイコンがガイコツの画像に置き換えられたからです。また、システムファイルやアプリファイルも置き換えられたため、ファイルの機能が無効になり、携帯電話はほぼ使用不能に陥りました。幸いなことに、この当時ランサムウェアはまだ一般的ではありませんでしたが、そうでなければ、ユーザーのデータやモバイルデバイスそのものを人質に取ろうとするマルウェアも出現していたに違いありません。その状況が変わったのは、2013 年にモバイルデバイスを狙うランサムウェアの最初のサンプルが確認されたときのことです。ランサムウェアでは、データではなく携帯電話そのものを人質に取ることに主眼が移っています。デバイスが頻繁に同期され、データは自動的にクラウドにアップロードされるようになって、ユーザーにとってバックアップの利便性が高まったためです。
2005 年になると
SymbOS.CommWarrior.A が登場し、連絡先に載っている番号に次々と MMS メッセージを送信するなど、感染経路が広がりました。このマルウェアは大きな成功を収め、CommWarrior という亜種はその後何年間も携帯電話のネットワークにはびこっています。2006 年に現れた
Trojan.RedBrowser.A は、プレミアムテキストメッセージを他のオペレーティングシステムに送信するという形で脅威の範囲を広げました。これが、J2ME を標的とし、複数の携帯電話プラットフォームに感染する最初のトロイの木馬でした。
それから 1 年も経たないうちに、モバイルデバイスは PC を狙う定番マルウェアと似たようなマルウェアへの対処を迫られるようになります。ワーム、データの窃盗や金銭を狙うトロイの木馬、他のファイルに感染するウイルスなどです。それだけでなく、アドウェアやスパイウェアの流行も携帯電話を見逃しはしませんでした。2006 年にリリースされた販売向けの
Spyware.FlyxiSpy は、侵入したモバイルデバイスのあらゆる活動を監視することに大きく成功します。配偶者のデバイスを盗み見たいユーザーにとってのベストソリューションとまで宣伝されるほどでした。類似の脅威がそれに続き、あらゆる操作を追跡できる進化形も現れました。
オンラインバンクの多くが帯域外の SMS 送信による認証方式を採用するようになると、犯罪者もそれに追随しました。その結果 2010 年に登場したのが
SymbOS.ZeusMitmo です。侵入先のモバイルデバイスから、銀行口座の取引情報をテキストメッセージで攻撃者に転送する機能があったため、攻撃者はそれを利用してオンラインバンキング詐欺を実行し続けることができました。これも大きな成果を上げたため、iOS を除く主要なモバイル OS のすべてに、オンラインバンキングサービスを標的とするモバイルマルウェアが出現しました。
2011 年、Android が最大の携帯電話プラットフォームになると、マルウェアの作成者もそれに注目するようになります。攻撃者は、トロイの木馬を仕掛けたアプリを拡散経路として選び、ソーシャルエンジニアリングの技術を駆使してユーザーがそれをインストールするように誘導を試みます。たとえば、
Android.Geinimi はモバイルデバイス向けのボットとして早期に成功した例ですが、実用的なアプリに偽装していました。それ以来、モバイルボットネットは広がり続け、クリック詐欺やプレミアムテキストメッセージ詐欺にもたびたび使われるようになっています。
Android.Rootcager が登場したのも同じ 2011 年のことで、これは悪用コードを利用して特権を昇格する最初の Android マルウェアです。モバイルマルウェアと PC 向けマルウェアとの違いは少なくなりましたが、そのひとつを備えているのが Android.Rootcager です。Windows コンピュータでは、悪用コードを使って自身を侵入先のコンピュータにインストールするマルウェアは珍しくありません。実際、悪質な Web サイトによるドライブバイダウンロード型の感染は、感染経路のトップになっています。一方で、携帯電話でドライブバイダウンロードが見られるのはごくまれであり、ほとんどの場合、アプリそのものをインストールさせるにはユーザーを欺く必要があります。ただし、モバイル OS に脆弱性が皆無ということではありません。脆弱性は実際に多く存在しますが、攻撃者が脆弱性の悪用をまだそれほど必要と思っていないだけのことです。2010 年には、iPhone のジェイルブレイクを扱う Web サイトで、脆弱性を悪用した攻撃がどのように行われるか実証されました。このサイトは、PDF のフォント解析に存在する脆弱性を悪用して、秘かにカスタムのソフトウェアをインストールしていました。その後、すべてのモバイル OS でセキュリティが強化されたため、マルウェアによる脆弱性の悪用はさらに難易度が高くなっています。
過去 2 年間では、モバイルデバイスを狙うトロイの木馬とアドウェアの顕著な進歩が確認されていますが、これは主に Android 携帯が中心です。今では、標的型攻撃でも、スパイ活動の目的にモバイルマルウェアが使われるようになっています。こうした傾向を考えると、モバイルマルウェアはすでに現実的な脅威となっており、まだ今後もさらに警戒が必要です。実際、将来的に携帯電話が本人確認のためのトークンや決済手段として使われるようになれば、モバイルの脅威は遠からず新たな進化を遂げるだろうと思われます。
今後も、不明なソースからアプリをインストールしないよう警戒を怠らず、強力なパスワードを使ってデバイスやサービスを保護することをお勧めします。シマンテックは、モバイルデバイスでこうした脅威を遮断する各種のセキュリティ製品を提供しており、次世代の保護対策をお届けするために常に努力を続けています。