Google の最新モバイルデバイス OS である「Android O」の開発者向けプレビュー版がリリースされました。今回も、Android の最新バージョンとしていくつもの新機能が追加され、機能強化も図られています。なかには、Android を狙うランサムウェアの多くに直接影響するアップデートも含まれています。
Android を狙うランサムウェアのなかには、システムウィンドウを利用するタイプがあります。Android O を搭載するデバイスでは、関連する許可をユーザーが付与していたとしても、その種のランサムウェアは動作しなくなります。
Android O では、次のタイプのシステムウィンドウが非推奨になっています。
Android O では、たとえマルウェアが TYPE_SYSTEM のウィンドウを表示したとしても、ユーザーが画面上部からシステム設定をプルダウンして、邪魔なアプリを「TURN OFF」(停止)できるようになります。
図. Android O では、ユーザーが邪魔なアプリを「TURN OFF」(停止)できる
Android Marshmallow(6.0)がリリースされる前のブログ記事でお伝えしたように、Android ランサムウェアでよく利用されるのが、上記のウィンドウタイプを使ってシステムレベルのウィンドウを表示するという手口です。こうすると、ランサムウェアのウィンドウを他のウィンドウより前面に表示したままロックできるため、身代金が支払われるまで、デバイスを実質的に使用不能にすることができます。この機能と組み合わせて使われるのが、マルウェアの実行を監視するバックグラウンドサービスによって支えられる自動起動の機能です。この 2 つを併用されると、Android ユーザーにとっては実に厄介です。
以前のリリースでも、Android はこのようなウィンドウの描画に必要な許可「SYSTEM_ALERT_WINDOW」を「危険以上」のカテゴリに移し、この機能を悪用する悪質なアプリを制限したことがあります。この移行でランサムウェアが許可を取得することは難しくなりましたが、新しい動的なアクセス許可モデルを指定できるのは、アプリが Android Marshmallow 以上をターゲットにしている場合だけだったため、後方互換性を利用するという抜け道が残りました。Android Marshmallow 以外での動作を想定したアプリでもこのアクセ許可を「危険以上」のカテゴリに移し、デフォルトで付与しなかったのは、一部の OEM だけでした。
Android O でシステムウィンドウの一部が非推奨になれば、ランサムウェアの動作はますます困難になります。
Google は Android の改良を続けており、バージョンアップごとにセキュリティも強化しているため、ランサムウェアの作成者にとって Android O はますます強敵になりそうです。Android O で実装される変更点は、Android ランサムウェアにとってかなりの打撃になるでしょう。とは言え、すべてのデバイスが最新版の Android にアップデートされるわけではないので、最新より前のバージョンにとどまるデバイスが、上述した手口のランサムウェアによるリスクにさらされることは変わりません。
また、システムアラートタイプのウィンドウを利用するランサムウェアに対しては、新しい OS の機能が防備になりますが、他の手口、たとえばユーザーレベルのウィンドウを利用してロック画面を頻繁に表示するようなランサムウェアに対しては効果がない点にも注意してください。
モバイルを狙う脅威から身を守るために、以下のベストプラクティスに従うことをお勧めします。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
【参考訳】