米ジョージア工科大学が評価用に作成したアプリケーションには、ユーザーに気づかれないように、端末からの個人情報窃取や、ツイッターへの投稿、メールの送受信、インストール済みの他のアプリケーションへの攻撃などを行うことができる、マルウェアとしての多くの機能が含まれていました。

　研究チームはApp Storeの制限回避を試験するために、これらの機能を分解して、審査時には確認できない状態とした上で認可を受け、App Storeで公開しました。公開されたアプリケーションをインストールすることで、再度連結してマルウェアとして動作することが可能なことも確認されています。

　SANSでは、こうしたセキュリティチェックの回避が行われないよう、そのプロセスを拡張すべきである、と評しています。（※もちろんその後、アップルはこの問題に対応し、iOSに変更を加えたとされています。）

　日本国内においても、業務でスマートフォンが利用されるケースが増えてきています。今回は、スマートフォンを業務に活用するために必要となる、セキュリティ対策の考え方について紹介します。

スマートフォンとセキュリティ上の脅威

　低価格かつ携帯性を有し、直感的な操作性を持ち、いつでもどこでもPC並の機能を手軽に利用できるスマートフォン。メール機能やスケジュール管理、インターネットの利用やファイル操作をはじめとする、これまでPCがないと利用できなかったさまざまな機能が、スマートフォンを利用することで実現できます。

　実際に、社内メールシステムの利用やスケジュール管理、研修コンテンツの利用や電子会議システム、お客さまへの商品説明・契約説明や動画プレゼンテーションに利用するためのツールなどとして、日本国内でも導入が進んできています。

　しかしながら、こうしたスマートフォンの急激な普及に伴い、不正行為者による攻撃が行われる危険性も増大してきています。

　米ジュニパーネットワークスの報告によると（注1）、モバイル端末向けのマルウェアの脅威は、昨年度に比べ614％という急激な割合で増加し、マルウェアの数は27万6259件に達しているとのことです。


　ここで挙げられているマルウェアの多くは、Androidで悪用されるアプリケーションですが、これは、アプリケーションの審査プロセスまで統制しているiOSと、オープンに利用できるAndroidとの違いによるものだと言えます。

iOSとAndroidのマルウェアの特徴
	iOS	Android
各OSのマルウェアの 特徴	OSの脆弱性を利用した攻撃など	OSの脆弱性攻撃に加えて、 マルウェア組み込んだアプリ配布も
デベロッパーの認定	登録制	匿名可
アプリ審査	厳格 （多数の審査項目）	審査はあるものの自由度大
アプリ配布	原則としてApp Storeのみ （iOS Developer Enterpriseなどで 企業専用サイト構築可能）	自由 （Androidマーケット以外も可能）

　しかし、iOSを利用していれば、悪用リスクがないのかというと、そういうわけではありません。被害者が意図せずに、Webサイトを閲覧するだけ、もしくはPDFファイルを閲覧するだけで、iOSの脆弱性を突かれてしまい、管理者権限まで乗っ取られ、悪意ある攻撃を受けてしまうという事例もあります。

　また、通常はAppStore経由でなければアプリケーションのインストールはできませんが、非認可のアプリケーションをインストールできるよう、ユーザーが不正にJailbreak（脱獄）と呼ばれる行為を行い、アップルによる管理が行われないアプリケーションをインストールされる可能性もあります。また、冒頭に紹介した事件のように、アップルのアプリケーション審査を通過した不正アプリケーションが、今後出てこないとも限りません。

　さらに言えばマルウェアへの感染だけがリスクではありません。利便性の裏返しとして、さまざまな脅威が考えられます。

　たとえば、携帯可能なPCに比べても、軽量で可搬性が高いがゆえに、置き忘れや紛失・盗難などが起こる可能性も高くなります。また、直感的に操作ができてしまうがゆえに、端末が悪意のある第三者の手に渡った場合、不正利用による情報漏えいやなりすましなども容易に行えてしまいます。


【次ページ】セキュリティリスクを軽減する「多層防衛」の考え方