Android向けマルウェアで気をつけるべきこと：あなたのスマートフォンはだいじょうぶ？（2/2 ページ）

[後藤治，ITmedia]

PCに感染したマルウェアと連携する「ZitMo」

　もう1つ、高機能化するモバイル端末向けマルウェアの例として挙げられたのが、ZitMo（ZeuS in the Mobile）だ。もともとはSymbianやBlackBerryなどに向けて拡散していたものだが、最近になってAndroidにも対応している。

　ZitMoは、ZeuSに感染した被害者のPCと連動して、オンラインバンキングが発行するワンタイムパスワードを不正に入手し、被害者の口座から預金を詐取するのを目的として作られたマルウェアだ。

オンラインバンキングを利用した送金処理。Zeusに感染したPCで特定の金融機関にアクセスすると、見た目はそっくりの偽サイトに誘導され、そこでスマートフォンにZitMoをインストールするように促される。攻撃者はスマートフォンから情報を盗み、オンラインバンキングにログインして自分の口座へ送金処理を行う。送金処理の確認に必要なワンタイムパスワードが銀行側から発行されるが、感染したスマートフォンから攻撃者に自動転送されて、送金処理が完了してしまう

　ちなみに、ZitMoによる金銭的な被害が報告されているのは1件で、Androidでの報告はまだないようだ。ただし「SMSを自動転送するウイルスはめずらしくない」といい、「ワンタイムパスワードを使うような金融機関でさえ攻撃対象になるということは注視すべき点です」と石川氏は警告している。

ユーザーが気をつけるべきこと

　Android端末向けのマルウェアはまだまだ規模が小さく、実際の被害はほとんど報告されていないとはいえ、いずれPCと同じように深刻な状況になる可能性はある。ユーザーは何に気をつければいいのだろうか。

　石川氏は、今後Android端末が直面する脅威を避けるためのポイントとして以下の6つを挙げた。

• 知らない（不要な）アプリケーションはインストールしない
• アプリマーケットの素性をチェックする
• ユーザーの評価に目を通す
• インストール時のパーミッションを確認する
• Googleアカウントの管理を徹底する
• 端末のroot化をしない
• セキュリティソフトを導入する

　ただし、これらの点に気をつけておけばある程度のリスクは避けられるものの、問題がないわけではない。例えば、モバイル端末向けのセキュリティソフトは一般のアプリと同じレベルで動いており、システムの深いレベルで動作するPC向けのものとは決定的に異なる。

　PCの場合、プログラムをダウンロードした時点で、あるいはインストールする時点で、さらには実行した時点のそれぞれでマルウェアを検知・排除する多層的な保護を実現しているが、Android端末向けのセキュリティソフトはそこまで高機能ではない（セキュリティソフトを起動してスキャンする必要がある）。

　例えば、権限昇格を狙うマルウェアとして「DroidKungFu」が話題になったが、仮にユーザーがDroidKungFuの混入したアプリをダウンロードしても検知することはできないし、インストール時も同様だ。そして1度DroidKungFuに感染してしまうと駆除することもできない。現在セキュリティベンダー各社からリリースされている対策ソフトを眺めると、その機能の多くはスパム対策か、もしくはリモートでのデータ消去や位置検索など、紛失や盗難を想定した内容になっており、アンチマルウェアとしての機能には注力していない（現時点でのモバイル端末におけるリスクを考えるとこれはまったく正しいのだが）。

　石川氏は「（セキュリティソフトが）一般アプリとしてしか動けないところにはがゆさを感じる面もあります。方法としては、ダウンローダーやインストーラーと一緒に動くような仕組みも考えられれますが、占有リソースやパフォーマンスに与える影響、コスト面など、各端末のメーカーさんやキャリアさんとも話し合う必要があるでしょう」と、モバイル端末におけるセキュリティの難しさも語っている。