セキュリティの視点から見たメリットとデメリット
今や、インターネットはPCだけでなくスマートフォンやタブレットなどといった様々なデバイスから利用できるようになっています。従来はPCを主に標的にしてきた悪意のあるウイルス、マルウェアもこうしたスマートフォンを標的にする事例も多く報告されるようになってきています。そこで今回はiPhoneやAndroidといったスマートフォンについて、セキュリティ的な視点からそのメリットとデメリットを解説し、安全性を検証していきたいと思います。
Android OSの特徴
Android OSはGoogleからOSのコードが公開されています。そのため世界中の技術者により脆弱性が迅速に発見、対応することが可能です。Android向けのデジタルコンテンツ(アプリケーション・映画・音楽・書籍など)、つまりアプリはGoogle Play(グーグル プレイ)によって配信されています。Google Play自体もアプリですが、それを通じて利用者は世界中の個人や企業の開発者が開発したアプリを入手することができます。アプリは「Bouncer」と呼ばれるマルウェア分析サービスにより、Googleによって事前審査を受けています。事前審査によって最低限の安全性が確認されたアプリがGoogle公式のGoogle Playから入手可能です。アダルトアプリや広告遮断アプリは除外されるようになっています。
一方でOSのコードが公開されているということは、ソースコードの悪意をもった改変や悪用にもつながる恐れがあるということです。またAndroid用のアプリは公式のGoogle Playストア以外でもダウンロードできてしまうため、不正なコードを持つアプリをインストールしてしまう恐れがあります。例えば古いAndroid OSを使っている場合、公式のGoogle Playストアで配布されている最新のアプリをインストールできないことがあります。そのような場合Google Playストア以外から、旧バージョンのアプリをダウンロードしてインストールを試みるユーザーもいます。しかしGoogleによって安全性が確認されていないアプリをインストールすることは非常にリスキーです。ただしGoogle側も必要最低限のテストのみを行っているため、開示された情報からユーザー自身が、安全性について判断を下す方針になっています。Androidはバージョンアップが激しいOSですが、比較的新しいハードウェアでないと最新のOSのサポート対象ではなく、十分なセキュリティを確保できない懸念があります。
- メリット
- デメリット
- ソースコードの悪意を持った改変、悪用の恐れがある
- 安全性の低いサイトからアプリを入手しインストールできてしまう懸念がある
- OSサポートのため常にある程度新しいハードウェアを用意する必要がある
iOSの特徴
iOSの場合はAppleからOSのコードが公開されていないため、不正にコードを改変され悪用されるなどのリスクが少ないと言われています。またアプリは基本的に公式のApp Storeでしかダウンロード出来ず、Appleの審査で安全性が確認されたものしか利用できません。App Storeでは世界中の開発者によるアプリケーションが登録されており、無料のアプリケーションも多くあります。
iOSのセキュリティホールを利用したJailbreak(ジェイルブレイク、脱獄)を行うことによってユーザー権限(root)の制限を取り除き、開発者が意図しない方法でソフトウェアを動作できるようにするなど特殊な方法を用いて、App Store以外のアプリを独自にインストールすることは可能ですが、当然この行為をアップルは認めていません。Jailbreakを行っている利用者は、マルウェアの標的にされる危険性があり、アップルから問題発生時のサポートを受けられなくなります。
- メリット
- ソースコードの悪意を持った改変、悪用の恐れが低い
- アプリのインストールをAppStoreで一元管理しており、不正アプリをインストールする可能性は現時点では低い
- 比較的古い機種であっても、最新のiOSの導入がサポートされている(最新のiOS13の対応機種はiPhone 6s以降、iOS12の対応機種はiPhone 5s以降)
- デメリット
スマートフォンの不正アプリ事例
株式会社Doctor Web Pacific(Dr.WEB)が6月4日発表した「2019年5月のモバイルマルウェアレビュー」によると、Androidデバイスは再び、Google Playから拡散される悪意のあるプログラムの標的となったことがレポートされています。Dr.WEBによりますと5月のモバイル脅威として Android.SmsSpy ファミリーに属するスパイウェア型トロイの木馬が検出され、これらのトロイの木馬はインターネットバンキング用のソフトウェアを装ってGoogle Playから拡散されていました。
他にもオーディオプレーヤーを装って拡散されていたトロイの木馬も発見されています。この悪意のあるプログラムは、実際に音楽を再生しますが、迷惑な広告バナーを表示させてモバイルデバイスの操作を困難にします。Androidは度々マルウェアの脅威にされてきたことがニュースになってきましたが、その傾向は最近も変わっていません。
引用:https://news.drweb.co.jp/show/review/?lng=ja&i=13297
またHuaweiやXiaomi、OPPOといったメーカーのAndroid端末約500万台がウイルスに感染された状態で販売されていたというニュースが2018年話題となりました。特定の業者がプリインストールしたアプリに問題があったとみなされていますが、最新のスマホでも安全とはいえないという衝撃的なニュースとなりました。
- iPhoneのセキュリティリスクは低い?
AndroidとiPhoneではiPhoneの方がセキュリティ的にはリスクが低く安全なスマートフォンだと言われていました。しかし近年iOSに関しても度々不正マルウェア拡散の事例が報告されています。
トレンドマイクロは3月24日、公式ブログで「iOS端末の不正/迷惑アプリ、『App Store』で確認。1つはサードパーティアプリストアへ誘導」と題する記事を公開しました。
2月下旬、アップルが提供するiOS端末向け正規アプリストア「App Store」において、不正/迷惑アプリが配布されている事例が確認されました。
そのなかの1つ「こつこつ家計簿 - 無料のカレンダー家計簿」は、家計簿に見せかけたデザインで、日本語が使われていました。実際には、中国のサードパーティアプリストアへ誘導する内容で、誘導先では、iOS端末の制限を解除する「Jailbreak(脱獄)」アプリなどが配布されていました。なお、このアプリはすでにApp Storeから削除されています。
AppleのiOS向けフィットネスアプリを装い、指紋認証機能「Touch ID」を使ってユーザーから金銭をだまし取ろうとするアプリが、Apple公式のApp Storeで提供されているのが見つかった。セキュリティ企業のESETが12月3日のブログで伝えた。
それによると、不正なアプリは「Fitness Balance」「Calories Tracker」の名称で、App Storeで提供されていた。一見したところ、BMIやカロリー摂取量を計算するなど普通のフィットネスアプリに見えるという。
ところが最初に起動する際に、「パーソナライズされたカロリートラッカーとダイエット提案」を参照するためと称し、Touch IDによる指紋認証を要求する。ユーザーが指を置くと、99.99米ドル~139.99ユーロの決済画面が表示される。
こうした不審な挙動にもかかわらず、Fitness Balanceのレビューでは平均で星4.3という高い評価を獲得していた。
引用:https://www.itmedia.co.jp/enterprise/articles/1812/04/news069.html
こうしてみると、AndroidであってもiOSであっても油断することはできない現状が見て取れます。
ウイルス感染を防ぐためには?
ウイルスに感染してスマートフォンの中のデータが世界中に拡散されたり、パスワードが抜き取られたりしてしまうという脅威が身近に存在することがお分かりいただけたと思います。そうしたリスクを少しでも減らすためには、PCと同様にウイルス対策ソフトをスマホにも入れる事、OSを最新のバージョンにアップデートする事、GoogleやAppleの公式アプリからしかアプリの入手はしないのはもちろんの事、Androidならば「Google Playプロテクト」を経由してアプリの安全性をチェックしてからアプリをインストールするといった事を心がけるようにしましょう。
