スマートフォン・セキュリティ問題を考える -スマートフォンが狙われる時代-

                  emunoki_img_111209_01

ここのところ、スマートフォンからの個人情報流出に関する話題が多い。それだけスマートフォンのセキュリティ問題が増えているということだろう。

この特集では、私たちが気をつけるべき主な攻撃手法と対処法について紹介していく。

なぜスマートフォンが?

第一回の今回は、なぜスマートフォンが狙われるのかを考えたい。
攻撃者の心理を知ることはセキュリティを知る上で最も重要な事だ。「なぜ狙われるか」を知れば、逆説的に「どこを守るか」を考えることが出来るだろう。

これまで、ウイルスやスパイウエア・あるいはフィッシングサイトといった悪意ある攻撃の多くは、パソコンに対して行われてきた。
それにはパソコンしかなかったという理由のほかに以下のことがあると考えられる。

・個人情報の宝庫であるから

スマートフォンは個人情報のカタマリであると言える。その代表例は電話帳だ。スマートフォンの電話帳はまさに今、連絡に使われているものだから、業者の個人情報帳なんかよりも新鮮度が高く有効な(生きた)連絡先である可能性が高い。もちろん、情報価値もそれだけ上がってくる。

それだけではない。携帯電話はブラウザを使ってインターネットに接続する道具としてもポピュラーだが、そのインターネットの「接続先」という情報は、ユーザーの特徴や性格を知ることができる絶好の材料になる。またその接続先自体に仕掛けを施せば、様々な個人情報を「引き出す」ことができるようになる。

攻撃者は、このような個人情報をほしがっている。だから、スマートフォンは狙われている。

・「アプリ」による拡張性や自由度にスキがあるから

上のような”個人情報の宝庫である”という特徴は、これまでの携帯電話(ガラパゴス携帯とかフューチャーフォンと呼ばれるもの)でも同様だった。ではなぜこれらの携帯電話はあまり狙われず、スマートフォンが狙われるのだろう。

それはスマートフォンには「アプリ」をはじめとした自由度の高い仕組みがあるからだ。アプリによって自分のスマートフォンを自分好みにカスタマイズするのは、まさにスマートフォンユーザ最大の楽しみと言えるだろうが、この構造は同時にウイルスなど”ユーザーを騙すアプリ”の付け入るスキを与えている。
従来型の携帯電話は拡張の自由度が低かった代わりに、悪意あるアプリが付け入るスキを与えていなかった。キャリアや携帯電話メーカーに守られ、ウイルスが侵入するスキが無かったと言える。

また、スマートフォンの自由度はこれだけでは無い。高度なブラウザによるブラウジングや、Wifi接続による高速無線インターネットといった使い方のすべてが、攻撃に対するスキを与えている。
スマートフォンは構造的に攻撃できる場所が多く、フューチャーフォンよりも個人情報を奪取できる機会が多い。攻撃者はより手軽に攻撃できる、技術的敷居の低いスマートフォンを狙ってくる。

・ユーザーにもスキが多いから

そして何よりも大きな理由がこれだ。

パソコンは、最先端機器の一つとはいえ登場し普及してから10年以上がたっている。その中で、ウイルスやフィッシングなどの攻撃が存在し、それらに気をつけなければならないという意識をユーザーが持つことになった。危険なウイルスなどに暴露される機会も多いが、ユーザ自身によるウイルス対策ソフトウエア導入など対策といった考え方が進んでいるためかなりの割合で危機を防ぐことを出来ている。

しかし、スマートフォンの場合はそうではない。携帯電話キャリアの戦略的なマーケティングによって、その危険性を知らされないままにシェアを急速に拡大してきている。しかも、このようなユーザーのほとんどはがこれまでの携帯電話の延長線ととらえて購入しているのだ。
上で述べたように、フューチャーフォンはキャリアによって守られていた。多くのユーザーはその感覚のままでスマートフォンを使っているが、その意識で使い続けていればいつか攻撃にさらされ、情報を奪われてしまうだろう。

攻撃者の目線から見れば、そのような意識で使うユーザーが多いということは攻撃の成功率が上がることを意味する。少ない手間で多くの情報が得られるというわけだ。
となれば、攻撃者はスマートフォンを狙わずには居られない。

では、これら3つの理由から対策を考えていきたい。

自分のスキを埋めるには

まず「個人情報の宝庫である」にはどう対処するべきだろうか。電話帳が無いなんてそんな電話は使えないし、インターネットが見れないのもスマートフォンとしては失格だ。
「スマートフォン自体のスキ」はどうだろう。 これも、これらの自由度があるからこそスマホだと言える。これも対策は難しい。

となると、我々ユーザー自身のスキを埋めていくしか無い。 しかし、とは言ってもいったい何をすれば良いのだろうか。
ウイルス対策ソフトウエアをインストールすれば良いのだろうか。あるいはスパイウエア対策アプリを使えば良いのだろうか。そういう手段も充分に有効だろうし、是非実施するべきだ。
しかし、それだけでは充分ではない。あれらのソフトウエア的な防御は時には取りこぼしてしまうからだ。

真に身を守る手段はユーザーが「敵の攻撃を知る」ことだ。スマートフォンはどのように攻撃され、どこに気をつければ自分を守れるかを知れば良い。
スマートフォンは、実はもともとそれなりにセキュリティが強固に出来ている。そのためウイルスなど悪質なアプリは必ずユーザーを騙して”インストール”ボタンを押させなければ侵入できない。逆に言えば、ユーザーが押しさえしなければ進入を許すことはないのだ。
ウイルス以外の攻撃もユーザー自身が 少し気をつけるだけで、防げる場合がほとんどだ。

この特集では、ここを重点的に紹介し「ユーザの隙」を埋めていくことを目標にする。スマートフォンを使って、何をしても良いのか。何をしたらダメなのか。そして、どこに注意して操作すれば良いのか。
スマートフォンを使う人すべての人に、是非読んでほしい。

画像ソース : キーボード付Android機ライフタッチノート研究室