総務省の研究会がスマホ・クラウドセキュリティの報告案公表

　総務省は、安全・安心なスマートフォンの利用環境を目指し、2011年10月から開催していたスマートフォン・クラウドセキュリティ研究会の最終報告案を公表した。4月28日～5月28日にかけて、この報告案の意見募集を受け付ける。

　スマートフォン・クラウドセキュリティ研究会は、スマートフォンやスマートフォンを介したクラウドサービスの利用における、情報セキュリティの課題抽出と、安心・安全な環境作りを目的とした研究会。有識者や研究機関、携帯電話事業者、メーカー各社らで構成され、2011年10月からこれまでに8回の会合を重ね、今回報告書案をまとめた。意見募集の結果を踏まえて、6月に最終報告として提出される。

■意識向上の必要性

　報告書案では、スマートフォンに関する一般利用者の意識に言及している箇所で、利用者が情報セキュリティ対策を怠ることは、自らの危険だけでなく、ボット化してネットワークや他の利用者に影響が及ぶとし、エンドユーザーの意識向上の必要性を示している。

　また、一般利用者への普及啓発や、政府の取り組み、スマートフォンでクラウドサービスを利用する際の脅威などについて考察されている。

■Androidの水平分業、それ以外の垂直統合モデル

　AndroidとiOSについては、世界的にシェアが拡大しており、海外で発生した脅威が国内に波及する可能性を指摘し、顕在化していないセキュリティ上の脅威を含めて抽出と対策・検討が必要としている。

　スマートフォン向けの各OSの状況については、Androidは水平分業モデルを採用し、自由度が高い分、機種依存性も高いとする。iOSやBlackBerry OS、Windows Phoneについては垂直統合型モデルとし、Windows Phone端末に限って言えば、端末製造の部分は水平分業モデルとした。

■マルウェアの多くはAndroid、深刻な被害なし

　なお、スマートフォンを対象としたマルウェアは、発見されたものの大半がAndroidを対象としたものという。ただし、マルウェアの出現数をパソコンと比べた場合、パソコンの1/4000しかない。報告書案では、現状では深刻な被害が蔓延する状態には至っていないとしている。

　マルウェアの脅威についてはOS毎に状況が異なるとする。iOSやWindows Phoneについては、OSの制限を外す行為を意味するいわゆる「Jailbreak（脱獄）」を行わない限り公式のアプリ配信サイト以外からインストールできない。BlackBerryについては、公式サイト以外かも入手できるが、電子署名したアプリ以外はインストールできない仕様とする。これら3つのOSは、提供事業者側の事前審査を行っており、「Jailbreak」しない通常端末のマルウェア感染事例は確認されていないとしている。

　その一方、Androidは、公式のアプリ配信マーケット「Google Play」と、それ以外のサードパーティによるアプリ配信マーケットが存在している。これまでに発見されたマルウェアは、海外のサードパーティマーケットで発見されたものが多いとする。また、公式の「Google Play」についても、アプリを事前審査しておらず、過去にはマルウェア入りアプリが掲載された例がある。発見され次第公式サイトからの削除と、利用者端末からの削除措置がとられたため、大きな被害は確認されていないとする。「Google Play」では、2012年2月、マルウェアを排除するため、アプリケーションの自動解析システムを稼働させている。

■アプリ配信マーケットの現状

　なお報告書では、アプリ配信マーケットの状況もまとめている。

　もっともアプリの登録数が多いiOSのApp Storeは、約58.5万件のアプリがあり、掲載前のアプリの事前審査と、掲載後に人を介したチェック、開発者への注意、アプリ削除などを行っている。ただし、App Storeの掲載ポリシーは一般利用者にも開発者に対しても公開されておらず、アプリの審査方法についても非公開とされている。

　次いで登録件数の多いAndroidの「Google Play」は45万件以上とされた。アプリ掲載に審査はないが、開発者が過去にマルウェアを配布していないか、静的解析による既知のマルウェアの検出などが行われる。掲載後は自動チェック機能と利用者からの報告などで、開発者への注意、アプリ削除などを実施している。掲載ポリシーについては、一般利用者にも開発者にも公開されている。

　Windows Phone向けのアプリ配信マーケットは約6.4万件以上、BlackBerry向けのマーケットは約6万件とされた。いずれも掲載には事前審査がある。

　国内の携帯電話事業者では、NTTドコモが「dマーケット」や「dメニュー」でのアプリ紹介、KDDIが「au Market」でアプリの配信、ソフトバンクモバイルが「＠アプリ」でアプリ紹介を行っている。

　登録数はそれぞれ、「au Market」が約7500件で、「dメニュー」が約4800件、「＠アプリ」が約2000件、「dマーケット」が約1000件となっている。