iOS狙った攻撃、より広範囲に--モバイルアプリの脆弱性はOSよりも深刻に

NO BUDGET 2014年12月16日 17時47分

  • このエントリーをはてなブックマークに追加

 攻撃のベクトルがiOSに向けられる、モバイル端末の出荷時に混入されるマルウェアが勢いを増す――。モバイル端末向けにセキュリティ機能を提供するルックアウト・ジャパンが2015年をこう予測している。

 iOSを対象にした“遠隔操作でアクセスするトロイの木馬(Remote Administration Tool:RATs)”やエクスプロイトは何年も前から存在していたが、iOSのマーケットシェアが大きくなったことで、犯罪者は以前よりも広範囲にiOS端末を標的とし始めているという。

 例えば、この11月に発見されたマルウェアの「WireLurker」は、感染したMac OS X端末にUSB経由で接続した、あらゆるiOS端末を監視し、“ジェイルブレイク”の有無に関わらず、別のマルウェアをダウンロードし、端末にインストールさせる。iOSが世界中に流通するのに伴い、iOSユーザーにターゲットを絞った攻撃が特に新興市場で増えるものと同社は予想している。

 低コストのAndroidスマートフォンが世界的に大ヒットしたため、攻撃者は、Androidスマートフォンのサプライチェーンをターゲットにして端末の出荷時にマルウェアを混入させ始めるという。同社では2014年、スマートフォンの出荷時に混入されていた2つのマルウェアファミリー「DeathRing」と「MouaBad」を検出した。

 これらのマルウェアは端末の「システム」パーティションの一部となっているため、一般のユーザーが削除することはほぼ不可能とし、このようなサプライチェーンでのマルウェア混入は、個人所有端末を機密情報を含む企業ネットワーク内に接続許可している企業にとって特に深刻な問題となるとの見方をしている。

 脆弱性のあるモバイルアプリは脆弱性のあるOSよりももっと深刻な問題になるとも予測する。今やモバイルアプリがPCのウェブブラウザに取って代わり、ネットを使用する際の第一のツールとなっている。モバイルOSはここ数年で安全性を高めていきてるが、モバイルアプリを対象とした攻撃は増大している。

 モバイルアプリ開発者は競合よりも早く配布しようとするためセキュリティは二の次にされがちで、データを危険にさらすだけでなく脆弱性を含むことがある。例えば、同社は、9万件以上のアプリがAndroidでのJavaScriptの安全でない実装による脆弱性を持つ可能性があると判定した。これら全てにパッチを発行することは不可能という。

 同社ではまた、すべての産業がテクノロジ産業になるとの見方を示した。今ある企業はテクノロジ企業に転身するか、革新的な競合他社に敗北してしまうかのどちらかと考えられると説明する。

 また、デジタル犯罪が増加するにつれデジタルとフィジカルの区別は必要なくなると表現する。電話を使って誰かをだます犯罪者を“電話犯罪”とは呼ばないのと同様だとしている。

 ウイルス対策や振る舞い検知型のセキュリティは有効な手段ではなくなり、モバイルやクラウド分野では今後2年間で予測的セキュリティの手法がさらに広く採用されていくだろうという見立ても明らかにしている。

 個人用のモバイル端末が職場に持ち込まれたり、社用モバイル端末が個人的に使用されるようになったりする中で、攻撃者から企業利益を守りながら個人のプライバシーを尊重する企業は、さらに複雑な課題に直面することが増えるとの予想を明らかにしている。同社では、“モノのインターネット(Internet of Things:IoT)”は現在、主流ではないことから、犯罪の標的になるのは3~5年先だろうとみている。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

連載

CIO
IT部門の苦悩
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
「企業セキュリティの歩き方」
「サイバーセキュリティ未来考」
「ネットワークセキュリティの要諦」
「セキュリティの論点」
スペシャル
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
AWS Summit
PTC LiveWorx
より賢く活用するためのOSS最新動向
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
米株式動向
日本株展望
企業決算