第732回：バックドア とは

不正侵入のための「裏口」

　「バックドア」は、セキュリティによる防御をくぐり抜けて、コンピューターに侵入するための仕掛けのことです。パソコンなどでは、MS-DOSなどが主流だった1980年代ごろから使われていて、古典的な方法としてよく知られています。

　2015年現在も、侵入者によって遠隔操作で操られる「ゾンビコンピューター」を作るウイルスや、多数のコンピューターを使ってネットワーク上のサーバーなどを不正にサービス停止に陥らせる「DDoS攻撃」の踏み台にするためバックドアを作るウイルスなどがインターネットには多くはびこっています。

　僚誌「INTERNET Watch」などでも報じられているように、2015年10月、このバックドアを作成する機能が、中国・百度（バイドゥ）のソフトウェア開発キットに組み込まれていたことが発覚しました。

　バイドゥが無償で提供している「Moplus」というソフトウェア開発キット内に、バックドアを作成する機能が組み込まれ、このキットを使って作成されたアプリを実行すると、ユーザーのスマートフォンにバックドアが作成されてしまうのです。

　バイドゥの検索などのサービスを、手軽にスマートフォンで利用できるため、中国製を中心とした多くのアプリでこのMoplusを使ってアプリが作られていました。セキュリティアプリを開発しているトレンドマイクロのブログによれば、判明しているだけでも700種類におよぶアプリに、バックドア作成機能が備わっている、とされています。これらのアプリは、たとえば「百度地図」だけでもGoogle Playからは百万～5百万回、バイドゥのアプリストアからは5億回以上ダウンロードされており、中国を中心とした多くのAndroidスマートフォンユーザーが影響を受けていることになります。

バイドゥによってバックドア作成機能が組み込まれていたスマートフォンアプリのひとつ「百度地図」。Googleのサービスが利用しにくい中国本土などでは絶大なユーザーの支持を受けていたアプリだ

　Moplusによるバックドア作成機能が含まれているアプリとしては、先述の「百度地図」のほか、「hao123」「iQiyiビデオ」「百度輸入法(バイドゥ IME)」などがあります。なお、僚誌「INTERNET Watch」の記事によれば、バイドゥの日本法人であるバイドゥジャパンが、同社提供の日本語IME「Simeji」にはMoplusを使用していないと、Twitter上でアナウンスがありました。

　このバックドアに、特定のコマンドを送ることで、スマートフォンの中でユーザーの意図しないプログラムを実行できます。たとえばスマートフォン内のアプリのインストール状況や、ユーザーの現在地といった情報を、外部のサーバーへ送信する、といった不正な動きが可能になります。

バックドア作成の仕組み

　バックドアは、先述したように、セキュリティによる防御をくぐり抜け、外部からコンピューターへ侵入する仕掛けです。Moplusで使われていたバックドア構築の方法は、パソコンへの攻撃などでも使われるシンプルな方法でした。それは、Moplusによってスマートフォン内に、「NanoHttpd」という極小型のWebサーバーアプリを端末にインストールするというものです。

　Webサーバーの基本的な動作は、インターネット上のコンピューター上で接続されるのを待ち、接続された先のコンピューターの指示によって内部のデータを送ったり、あるいは外部からのデータをコンピューター内部にしまうというものです。外部から呼びかけがあるとWebサーバーが反応するわけですが、この通信をMoplusが監視していて、特定の呼びかけ方をしたときにMoplusが起動し、スマートフォン上で不正な活動を行うようになっています。

　Moplusは、このキットを使って作ったアプリ本体とは独立して、常に電源が入っているときはバックグランドで動くサーバーアプリとして自分をシステムに登録します。そのため、一度アプリを使うと、アプリを起動していない状態でも、スマートフォンの電源が入っていれば、常にバックドアを作り侵入者の呼びかけを待って潜伏している状態となります。

　バックドアができること、つまりスマートフォンがバックドアによってどのような被害を受ける可能性があるかは、システムの作りとバックドアプログラムの利用できる権限によって決まります。Moplusの場合、Moplusを利用したアプリのインストール時に付与した権限が、そのままバックドアの権限になります。

　多くのMoplusを使ったアプリは、多くの権限を利用できるよう設定されており、スマートフォン内の個人情報やアプリ一覧を操作したり、メッセージの送信や任意のアプリのインストールなどが可能です。端末の設定によっては、別のアプリをインターネットからダウンロードしインストール、それによって端末がroot化されているかどうかを判別するというようなことも行います。

　なお、このMoplusの作成するバックドアでは、侵入者が特定の誰かなのかを識別するというような機能はついていません。そのためバックドアの存在に気づけば、誰もが遠隔操作できることになります。バックドアの存在が公になった以上、悪意を持った第三者がアタックする可能性が大きくなっています。

　Webサーバーが呼びかけを待つ「ポート」と呼ばれる窓口の場所はアプリによって違うのですが、「ポートスキャン」という手法によってネットワーク上に順に探っていくことで、悪意の攻撃者にも見つけることができます。ポートスキャンもまた、セキュリティ上の欠陥を突く攻撃には非常によく使われる、よく知られたものです

　「Moplus」で開発されたアプリを一度でも実行したことがあるスマートフォンは、接続している携帯電話や無線LANのネットワークから、常に不正な攻撃を受け被害を受ける可能性があることになるわけです。

対策方法

　バックドアは“正しい入り口”でなく「裏口」を作るプログラムです。もし、バックドアが作られてしまった場合の対策としては、裏口を開けるプログラムを無効化する処置をする必要があります。引き続き、Moplusを例にして、対処法を見てみましょう。

　Moplsuの場合、NanoHttpdをスマートフォンから削除するか、システム起動設定からNanoHttpdを外す、MoplusのNanoHttpdへの監視を止める、そしてMoplusを削除する、といった手段のいずれかか、あるいは複数の手段を取る必要があります。

　Moplus開発元のバイドゥは、対策として改修版のMoplusバージョン8.7.5の提供を 2015年10月30日から提供を始めています。新バージョンのMoplusは、NanoHttpdを起動する機能自体は残されているものの、監視している通信内容によって不正なプログラムを動かす機能のうち一部、たとえばインストールされているアプリの情報を送る、root化された端末を判別するといった内容を削除しています。

　そしてバイドゥは、アプリケーション作成者に、このバージョンでアプリを作り直すように呼びかけています。つまり、不正な行動をしなくなった新しいMoplusで古いMoplusに置き換えることで対策としているわけです。なお、バイドゥ製のアプリの場合、11月4日までに「百度地図」「百度輸入法(バイドゥ IME)」などは、すでに更新されたバージョンが公開済みであるとしています。

　ただし、トレンドマイクロによれば、更新されたMoplusにも依然として、不正なコマンドが一部残っており、「SDKの不正動作が完全に削除されたことが確認できるアップグレード版がない限り、感染したアプリケーションをアンインストールすることをお勧めします」としています。つまり、問題となるアプリケーションをスマートフォンから削除することで対策としているわけです。

　なお、Moplusに限らず問題のある行動をするプログラムをスマートフォンから削除するようなセキュリティ対策アプリは各社から販売されていますので、削除を確実、かつ簡単に済ます方法としては、そうしたセキュリティ対策アプリを利用するのもひとつの手段と言えます。