インフラセキュリティの処方箋

第24回 2016年6月~世の中の話題×便乗ソフトウェア×マルウェア

この記事を読むのに必要な時間:およそ 1.5 分

何かが世の中で話題になると,その「何か」に便乗したソフトウェアが出てくるのは世の常です。そして,そのようなソフトウェアの中には「マルウェア」も当然存在します。

カジュアルに便乗ソフトウェアを作成する人たちと,それを入れる人たち

2016年7月にリリースされた,話題のスマートフォンソフトウェアといえば,ポケモンGOが筆頭に挙げられます。

このソフトウェア,2016年7月6日以降,日本以外の国では順次リリースされていましたが,日本ではなかなかリリースされておりませんでした。このような事情につけこんだマルウェア配布/攻撃も発生しています。

「ポケモンGO」に便乗するサイバー攻撃を複数確認
http://www.is702.jp/news/1992/

リリースされる前に出てくる謎のAPKファイル

前述の記事によると,ポケモンGOに便乗したマルウェアは,すべてGoogle Play以外の場所で配布されていたとのことです。

Androidで動作するソフトウェアの配布パッケージをAPKファイルと呼ぶことがありますが,日本でもポケモンGOがリリースされる前は(もしくはリリースはされているものの対応機種でないため)Google PlayやAppStoreで出てこないという状況が続いていました。そんな時に,⁠ここにあるファイル使えばインストールできるぜ」といわんばかりに野良APKの場所が紹介されると,ファイルを入手してインストールを行おうとする人も出てくると思います。

たとえば攻撃者は,こういう心理や行動に付け入ります。

最初は守られているが,その状態を崩すのはユーザ

Androidの場合は,通常はGoogle Play経由でのソフトウェアインストールのみを行えて,それ以外の経路(例:自分でどこかのダウンロードサイトからAPKファイルを持ってきてインストール)は,基本は閉じられています。

しかし,その設定をあえて緩める行動に出るユーザも少なくありません。 前述の「謎のAPKファイル」は,通常だと使用できない(インストールできない)のですが,⁠設定を緩めることでインストールできてしまう」ことを知ったユーザは,あえて設定を緩める行動に出ることがあります図1)⁠

図1 設定画面

図1 設定画面

しかしそのような行動はあまりよくないということを,設定変更時に知らせます図2)⁠

図2 アプリインストールに関するアラート

図2 アプリインストールに関するアラート

普通に使う分には,そのような行動に出なくても大丈夫のはずなので,⁠お願いですから)よほどのことがない限りは気軽にこの類の設定を変更しないでください)⁠

注:と書いた矢先に,とある企業のアプリケーションは,この設定を変えないと入らないことを確認しました。正直,困ったものです……。

ソフトウェアに許可する権限を確認し,認可するのもユーザだが……

最近のAndroidの場合,インストールの際に「ソフトウェアが要求する権限」を提示します。しかし,その権限をきちんと確認しないと,気が付かないうちに怪しいソフトウェアをインストールさせられていたりということもありえます。

「6. スマートデバイスのアプリ導入時の注意」に,以下のような注意が書かれています。

Android OSの機器でアプリをインストールする際に表示される「パーミッション」⁠アプリが機器のどの情報/機能にアクセスするのか,許可を定義したもの)の一覧には必ず目を通してください。

これは,インストールされたアプリケーションに与えられた権限が適正なものであるか,必要以上の権限を付与していないかを確認するということに尽きます。

日常における情報セキュリティ対策日常における情報セキュリティ対策
https://www.ipa.go.jp/security/measures/everyday.html
Android 5.9 以前のアプリの権限の確認
https://support.google.com/googleplay/answer/6014972?hl=ja
Android 6.0 以降のアプリの権限の管理
https://support.google.com/googleplay/answer/6270602?hl=ja

もちろん,すべてを確認するのは無理があるので,⁠新たに入れたもの」⁠入れた覚えのないもの」の身元や権限を確認するだけでもよいでしょう。

自衛方法:通常はGoogle Play以外のところから入手したソフトウェアをインストールしない&もしする場合には,ソフトウェアの身元や付与権限の確認を

基本,自衛するために必要なことは,⁠不要なアプリは入れない」⁠入っているアプリのアップデート」⁠Android OSのアップデート(可能な場合)⁠という実に基本的な事項を遵守することに尽きます。

地味なように見えても,基本的な対策を遵守することが,自分の身を守ることにつながります。

著者プロフィール

宮本久仁男(みやもとくにお)

某SIerに勤務する,どこにでもいる技術者。

OSやネットワーク技術に興味を持ち,その延長でセキュリティ技術にも興味を持って,いろんな調査や研究を手がけてます。

自分で思考を巡らしたり検証したり,というのももちろん好きで,あれこれやってます。もちろん他の人に迷惑はかけない範囲で……ですが。

博士(情報学),技術士(情報工学)。

URL:http://d.hatena.ne.jp/wakatono/

監訳書の1つ:実践Metasploit

コメント

コメントの記入