KDDIとトレンドマイクロ、スマホ向けセキュリティの重要性を説明


 KDDIとトレンドマイクロは、KDDIから「安心セキュリティパック」が提供されることに関連し、スマートフォンのセキュリティ対策の重要性を説く説明会を開催した。

 「安心セキュリティパック」は、3LM Securityのリモートロックや、、トレンドマイクロのウィルス対策、オプティムのリモートサポートサービスをパッケージ化したスマートフォン向けサービス。11月中旬に月額315円(12月末までは無料)で提供が開始される予定。

クラウドを中心に定額制サービスを拡大

KDDI サービス企画本部 マルチアクセス&サービス企画部の小柴智裕氏

 最初に登壇したKDDI サービス企画本部 マルチアクセス&サービス企画部の小柴智裕氏は、KDDIの「3M戦略」の主役がスマートフォンになっているとし、市場の拡大やラインナップの強化を示す。また、個人情報のほか、映像や音楽などのサービスや将来的な“ライフログ”にまで、クラウドを中心にサービスが拡大するとした上で、それらでは月額課金などの定額制サービスが重要になるという考えを明らかにし、音楽やSNS系のサービスで「LISMO unlimited」や、「au one Friends Note」(11月中旬より提供開始予定)などの、具体的な取り組みが始まっていることを示した。

 同氏はまた、スマートフォンが拡大していることで、実際のアンケート調査などでも、出かけ先での調べ物や、地図サービス、写真の撮影といった利用が拡大していることを明らかにする。一方、セキュリティ面では、スマートフォンと従来のフィーチャーフォンでは異なる部分が多いことを説明し、特にWebサイトへのアクセスでは、「スマートフォンはパソコンと同じレベル。ユーザーがリスクを負えばどこへでも行ける」とし、「セキュリティソフトの導入が望ましいのではないか」と呼びかけた。同氏からは「安心セキュリティパック」の内容も紹介され、「我々の責任として、最低限これくらいは提供していかないといけない」とキャリアとして提供する意味を語った。


「3M戦略」でクラウドと定額制サービスの拡大を目指す将来的にはアドレス帳のようなデータもクラウド上で提供
スマートフォンとフィーチャーフォンのセキュリティ上の違い「安心セキュリティパック」を11月中旬に月額制のサービスで提供

 

通話を盗聴するスパイウェアをデモ

トレンドマイクロ コーポレートマーケティング部 コアテク・スレットマーケティング課 シニアスペシャリストの内田大介氏

 トレンドマイクロ コーポレートマーケティング部 コアテク・スレットマーケティング課 シニアスペシャリストの内田大介氏からは、スマートフォンのセキュリティ対策の基本事項のほか、スマートフォンユーザーを狙ったワンクリック詐欺やスパイウェアについて、実際の端末のデモでその様子が公開された。

 内田氏は、インターネット上のサイバー犯罪による被害額が2011年4月から半年で2億8000万円に上っているという警察庁が発表したデータを示し、「犯罪者は不当な利益を得ようとしている」と、お金や、お金になる情報を狙っているとする。「そうした犯罪者は、スマートフォンを標的にし始めている」と語る内田氏は、Webブラウザがパソコンと同様の性能で、セキュリティ上の脅威と成り得る点や、膨大な数が配信されているアプリマーケットが「より多くのユーザーを標的にでき、攻撃者にもメリットがある」と解説する。

 また、パソコンおよびスマートフォンで確認された、ウイルス・スパイウェアの歴史や、愉快犯から金銭目的に移行しているという傾向を示し、「パソコンと同じような道をたどりつつあるのではないか」と予測する。


一例として示された、スマートフォンをターゲットにしたフィッシングサイト。本物と見比べれば違いが分かるものの、単体で見ている場合、偽物と判断することは容易ではないという2011年4月から10月の間でインターネット上では2億8000万円の被害が発生
スマートフォンは、パソコン同様のブラウザや、豊富なアプリ市場により、攻撃者にも狙われやすいとしたパソコンおよびスマートフォンにおけるコンピュータウイルスの歴史。その内容も金銭目的などに変化している

 

デモで公開された、通話を盗聴するスパイウェアの概要

 内田氏からは、実際にスパイウェアに感染したAndroidスマートフォンを用いてデモも公開された。公開された感染済みのスマートフォンは、音声通話をバックグラウンドで録音し、日時などの情報と共に録音データをSDカードに保存した後、外部にそのデータを送信するという、盗聴を行うスパイウェアに感染している状態。実際にスタッフに電話をかけた後、SDカード内の特定のフォルダを開くと、先程の会話の内容が録音された音声ファイルが確認できた(デモでは、外部への送信は行われない状態だった)。

 内田氏はここで、「関連は明らかになっていないが」と断った上で、中国で提供されていたという“監視サービス”を紹介した。これは、盗聴したい相手の電話番号を入力すると、相手にSMSが送信され、その後相手の通話内容や発信日時、発信先などの情報がWebサイト上で確認できるというもの。相手(被害者)が前述のようなスパイウェアに感染することで実現しているものと考えられている。また、英語圏でも同様のサービスが確認されているとし、こちらは利用する際の料金が明示され、「通話内容を聞く」といったサービスメニューが紹介されていることも紹介された。


通話を終えると、SDカード内のフォルダに通話を録音したデータが作成されていた再生すると、会話の内容が録音されていたことが確認できた
中国で提供されていたという“監視サービス”は、特定の相手をターゲットにし、SMSを送信してスパイウェア感染を誘発させ盗聴を行うとみられる英語圏でも同様のサービスを提供するWebサイトが確認されている

 

 スマートフォンのユーザーをターゲットにした脅威は、日本人向けにも存在する。内田氏は、日本で被害が顕著なものの代表として、アダルト系動画サイトなどを装った「ワンクリック詐欺」を挙げ、「IPアドレスやプロバイダ情報が画面に表示されることで、身元がばれたと錯覚する。IPAでは先月だけで419件の相談があり、弊社にも相談が増えている」と依然として収まっていない様子を示す。同氏はここでも「スマートフォンを狙ったものが出てきている」と、その事例を紹介する。そのスマートフォン向けワンクリック詐欺サイトでは、パソコン向け同様に、「データ転送完了、IPアドレス登録完了」などと表示され、入金しないと動画サービスが利用できない旨や、退会しようとしても「退会手続きができない」などと表示される(動画は再生されず、入金や退会の必要もない)。

 内田氏は、このスマートフォン向けワンクリック詐欺サイトの特徴として、同じURLをパソコンのブラウザで入力すると、QRコードが表示され、モバイル端末からアクセスするように誘導している点を挙げ、「フィルタリング回避のためにやっているのではないかとみている」と解説した。


ワンクリック詐欺は日本で被害が顕著というスマートフォン向けワンクリック詐欺サイトの実例。左の画面が入り口
IPアドレスなどを表示して、個人を特定したかのように錯覚させる先に進んでも、入金しないと見られないと表示され、退会手続きもできないと表示される。パソコン向けではこれらの警告表示がデスクトップなどに残る場合があり、相談が増える傾向にあるという
同じURLにパソコンのブラウザからアクセスすると、モバイル端末からアクセスするように誘導される。フィルタリングなどを回避する策とみられる

 

 こうした、スマートフォンでも顕在化しつつある脅威に対し、内田氏は「セキュリティ5か条」を示した。ひとつは、この説明会でも触れられているセキュリティソフトやサービスを利用し対策を行うというもの。また、OSやアプリを最新の状態にすることや、端末に登録したアカウントのパスワードを強化するといった管理をしっかりとすること、端末のパスワードロックをかけること、紛失時に適切な対処を行うこと、という具体的な方法が示された。


内田氏が示した「セキュリティ5か条」Webフィルタ機能では、危険度の高いサイトへのアクセスを防げる
通常のアプリと、内容を改ざんされたアプリ(左)。インストール時に表示される情報で判断可能だが、実際には適切に判断できない場合も多いこのほか、推測されにくいパスワードにするといった、アナログな対策も紹介された

 




(太田 亮三)

2011/11/8 15:37