AIでスマホ特化のセキュリティ、Zimperiumに聞く脅威の最前線

　ソフトバンクは、米Zimperium（ジンペリウム）が開発したアプリを採用する「セキュリティチェッカー powered by ZIMPERIUM」を11月15日から日本で提供すると発表した。iOS向けで、AIのエンジンを活用して未知の脅威にも対応するのが特徴になっている。

　サービス開始に先立ち、来日したZimperiumのトップに話を伺う機会を得た。本稿では海外でのサービスを含めたZimperiumの特徴、現在のモバイル端末を取り巻く脅威の状況などについて聞いた。対応していただいのは、創業者で会長兼CTOのZuk Avraham氏、CEOのShridhar Mittal氏の2名。

左からZimperium CEOのShridhar Mittal氏、創業者で会長兼CTOのZuk Avraham氏

　Zimperiumは2010年にイスラエルで設立された企業。当初は表立っての活動はせず秘密裏に開発を進め、2014年に本格的な会社としてスタート。現在は米サンフランシスコに本社を構えている。創業者で会長兼CTOのZuk Avraham氏はイスラエル軍出身で、サムスン電子のセキュリティ部門を経てZimperiumを起業。CEOはShridhar Mittal氏が務める。

　同社は、AIをベースにした、モバイル端末のローカルで稼働する「Z9」エンジンを開発し、2011年にはiOSとAndroid向けにセキュリティソリューションを展開。エンタープライズ向けソリューションはいくつかの大手企業に採用されているほか、2016年はグローバルの大手通信キャリアとも連携を開始している。今後は法人向け提供の拡大やIoT向けソリューションなどを計画している。

さまざまなシーンでリスクに直面しているモバイル端末

　CEOのShridhar Mittal氏は、モバイル端末への攻撃は、「DNA」がキーワードになっているという。これはDevice、Network、Applicationの頭文字をとったもので、攻撃者はこれら3つの要素について脆弱性を突いた攻撃を仕掛けてくるという。

　「ハッカーはPCを狙ったように、現在はモバイル端末をターゲットにしている。個人情報、財務、健康、企業の情報、企業へのアクセス方法など、モバイル端末から多くの情報を入手できるようになっている」と、Mittal氏はモバイル端末が日常から業務まで多くの情報を蓄積し、ハッカーにとっては魅力的なターゲットになっていると指摘する。

　モバイル端末では、PCでもみられたマルウェア感染型に加えて、さまざまな攻撃手段が用いられていることも、脅威の拡大に拍車をかけている。健全なアプリを装い、内部にマルウェアとして動作する機能が仕込まれているアプリや、それらの仕組みを応用する未知のものから、巧妙なケースでは、アプリ自体にはマルウェアは含まれていないものの、ダウンロード後に通信を行いマルウェアを別途ダウンロードするアプリもあるという。「GoogleもAppleも安全にしようとしているが、不十分な状況だ」と、Mittal氏は現在も安全ではないとする。

　また、マルウェアには該当しなくても、マイクやカメラを勝手に起動して録音・録画するなど、プライバシーの侵害を目的とするものもあり、結果的に情報漏洩を引き起こすという。

　さらに、モバイル端末ではネットワークを利用した攻撃にも注意が必要になるという。公衆無線LANサービスにおいて、接続履歴があることから自動的にアクセスポイントに接続するという動作を狙い、アクセスポイントになりすます装置でユーザーを自動的に接続させ、気取られずに情報を詐取する、中間者攻撃（MITM；マン・イン・ザ・ミドル攻撃）の手法が拡大しているとのことで、このケースではマルウェアを端末に送り込む場合もあるとしている。

　また、アクセスポイントになりすますための装置は「大手通販サイトで200ドルで買える」（Avraham氏）と、攻撃手法として手軽になっている様子も指摘されている。

　さらに、技術的には高度とするものの、モバイル網の基地局を詐称し中間者攻撃を狙う装置も確認されているという。

　ほかにもモバイル端末にはさまざまなケースで狙われており、例えば空港になどにあるスマートフォン用の充電サービスを装い、充電ケーブルの先にあるパソコンで情報を抜き取るといった手法が存在しているとのこと。

　Eメールやインスタントメッセージで届いたリンクをクリックすると、脆弱性を突かれてマルウェアに感染するといったケースはすでに一般的だが、中には操作をせずインスタントメッセージが届いただけで感染するケースもあったという。

「セキュリティチェッカー」における脅威検出時のイメージ

モバイル端末への攻撃の多くは国家やプロが主導

　そもそも、モバイル端末への攻撃は、誰がどのような目的で行い、どのような潮流を生み出しているのだろうか。攻撃者の目的がイタズラ程度なのか、詐取なのか、恐喝なのか。攻撃者の目的が変われば対応策も変化することになる。

　攻撃者の目的についてAvraham氏は、「大きく2つのグループがある。諜報活動を行うグループと、利益を追求するグループだ」とし、「サイバー諜報活動のプロは、ユーザーに気付かれない状態を維持しつつ、通話やメッセージを傍受する。利益が主な動機になっている場合は、ランサムウェアでお金を巻き上げたり、ビットコインのマイニングのリソースとして利用したりする」と現在のハッカーの動機を説明する。

　また、攻撃者のグループの多くは、国家が直接関与する組織だとし、その次に多いのは、国家に情報を売るハッカーだとした。これに企業スパイの組織が続く形という。これらのことは、かつてのような、個人ハッカーがイタズラでウイルスをばらまく時代とは状況がまったく異なり、国家規模で攻撃を仕掛け合う状況にまで発展していることを示している。

　米国の大統領選挙では、民主党大会に大規模なハッキングが行われたことが話題になったが、FBIはロシアの関与を示唆したほか、モバイル端末もハッキングされていたことが明らかになったという。Avraham氏によれば、インドでは、ハッキングによる漏洩を警戒し、国会議員に対して議事堂にモバイル端末を持ち込まないよう要求しているという。

　かつては、Appleによる審査の後のアプリは安全という暗黙の方針により、App Storeにおいて、アプリのマルウェア対策など行う王道のセキュリティアプリは配信されていなかった。こうした方針は、当初からセキュリティ関係者が指摘していたように、誤ったメッセージとして、多くのiPhoneユーザーをセキュリティや脅威の存在に対して無頓着にさせ、結果的に被害が拡大する、（欧米圏で解釈される）モラルハザードにつながったとの指摘もあり、Mittal氏も「その通りだ」と同意する。

　しかし、iPhoneが世界中に普及し、悪意のあるハッカーにとって格好の攻撃対象になっている現在、端末への攻撃手段が多様化している状況や、脆弱性の報告の半数はiOS関連が占めるという現実に至って、こうした方針も変更されている。ZimperiumのアプリのiOS版でも、端末にインストールされるアプリの検査や、端末の挙動の監視など、セキュリティアプリの中心となる機能が提供されている。

ローカルで稼働するAIエンジン、早期警戒システムも

　ニュース記事でも触れているように、「セキュリティチェッカー powered by ZIMPERIUM」では、既知の情報に基づいたアプリの検査のほかに、AIベースのエンジンでリアルタイムに監視する「Active Thread Protection」で、未知の脅威にも対応する。

　Zimperiumでコアの技術になっている、AIと機械学習（マシンラーニング）による「Z9」エンジンについて、Avraham氏は「マルウェアの検知技術はどこよりも優れている」と自信をみせる。実際に、これまでに起こったAndroidやiOSのカーネルの脆弱性に起因する未知の脅威やゼロデイ攻撃も、エンジンをアップグレードすることなく、端末の挙動を分析し、検知してきたという。

　また「Z9」エンジンは基本的に端末のローカル上で稼働するため、クラウド上で脅威を判定するタイプよりも素早く、通信なしに判定できるというメリットがあるという。

　主に法人向けには、攻撃の発生を警報として管理者や利用者に通知する「Early Warning System」（早期警戒システム）も用意されている。攻撃の発生を全ユーザーで共有したり、企業単位で共有したりできるなど、プラットフォームは柔軟に運用できるとしており、特定の企業の内部情報を狙う標的型攻撃への対策にもなるとしている。

　Avraham氏は、日本でソフトバンクから提供されることは「画期的」と評し、ユーザーが増えることで警戒システムの精度や性能も向上し、「攻撃を未然に防止することに貢献できるだろう」との見方を示している。

iOSで稼働するZimperium（※画面は海外版）