©2013 Webroot

提供 ビジネス チャンスがセキュリティ問題で台無しにモバイル アプリケーションによる新たなビジネス チャンスで、サービス プロバイダやテクノロジー企業は活気づいています。アプリケーション ストアやアプリケーション マーケットでのアプリケーション販売、アプリケーションのモバイル サービスおよびインフラストラクチャ対応、モバイル デバイス管理 (MDM) およびモバイル アプリケーション管理 (MAM) 製品によるアプリケーション管理で、革新的な企業のビジネスは好調です。企業は、自社のアプリケーション カタログから従業員や顧客にモバイル アプリケーションを提供しています。

ただし、こうしたビジネス チャンスが、情報セキュリティの問題によって台無しになるおそれがあります。

モバイル デバイスへの攻撃は急激に増加しています。セキュリティ企業は以下のように推定しています。

• モバイル脅威は、2010 年の 7,000 件から 2011 年には 25,000 件、2012 年には 65,000 超に増加した。

• Android マルウェア脅威の数は、亜種を含め、2013 年末までに 100 万に達すると見られる。1

• 2012 年、感染した Android デバイスの数は、年初の 1,080 万台から年末の 3,280 万台へと 200% 増加した。2

目次 ビジネス チャンスがセキュリティ問題で台無しに. . . . . . . . . . . . . . . . . 1 モバイル攻撃が急増する理由 . . . . . . . . . . . . . . . . . . . . . . . . . 2 悪意のあるモバイル アプリケーションに対する防御対策 . . . . . . . . . . . . . 4 最新の防御手段: モバイル アプリケーション レピュテーション サービス . . . . . . 4 Webroot Mobile App Reputation Service . . . . . . . . . . . . . . . . 6 サービス プロバイダと企業にとってのビジネス価値 . . . . . . . . . . . . . . . 8

モバイル アプリケーションの無秩序な世界MDM ベンダー、通信事業者、サービス プロバイダ、およびアプリケーション ストアがユーザーを悪意のあるモバイル アプリケーションから保護するには

1 「Predictions for 2013 and Beyond」、Trend Micro、2012 年 12 月 13 日。2 「2012 Security Report」、NQ Mobile。

2 ©2013 Webroot

トップに戻る

こうした動向に対処できないサービス プロバイダとテクノロジー企業は顧客を失う危険があります。うまく対応できれば、企業には市場シェアを増やすチャンスがあります。

本書では、次の内容を取り上げます。

1. モバイル攻撃が急増する理由

2. 悪意のあるモバイル アプリケーションに対する防御対策

3. 最新の防御手段: モバイル アプリケーション レピュテーション サービス

4. Webroot Mobile App Reputation Service

モバイル攻撃が急増する理由数年間、兆しはあっても目立った動きのなかったモバイル攻撃がここにきて爆発的に増加しているのはなぜでしょうか。理由としては、モバイル アプリケーション関連の攻撃を行う機会が増えたこと、サイバー犯罪者の手口が高度で巧妙になったこと、エンドユーザーがリスクを知らないことなどが挙げられます。

膨大な数のアプリケーション。Nielsen の調査によると、平均的な米国のスマートフォン ユーザーは、1 年間に 41 個のアプリケーションをインストールします。3 ABI Research の推定によると、2013 年に世界中でダウンロードされたスマートフォン アプリケーションの数は 560 億、タブレット アプリケーションの数は 140 億でした。4 これらの数に比べると、PC やラップトップにインストールされた従来のアプリケーションの同じ統計値は非常に少なく見えます。これほど量が多いと、サイバー犯罪者が弱点を見つける機会が豊富にあります。また、サイバー犯罪者は、個々のダウンロードに伴うセキュリティ上の影響をモバイル デバイス ユーザーが用心しないように細工しています。5

無秩序状態のアプリケーション ストアが増殖。Apple、Google、Microsoft、Samsung、Nokia、Cisco、Verizon、Vodafone のような大手ベンダーやサービス プロバイダが管理するアプリケーション ストアの秩序は、おおむねよく保たれています。ただし現在では、その他にも、数十の大規模で露出の多い Android およびクロスプラットフォーム ストア、数百もの小規模なストア、モバイル アプリケーションを提供する膨大な数の Web サイトがあります。こうしたストアの多くには、マルウェアが組み込まれたアプリケーションを識別してブロックする機能がほとんどあるいはまったくありません。怪しげな実業家やサイバー犯罪者はさらに手を広げ、海賊版アプリケーションやマルウェアが組み込まれたアプリケーションを提供する目的で Web サイトを仕掛ています。6

高度で巧妙なサイバー犯罪者。最近まで、ほとんどの有害なモバイル アプリケーションの手口は、アドウェアと、高額通話料サービスへのテキスト メッセージや電話の生成 (通話料金詐欺やプレミアム番号詐欺) などに限られていました。こうした攻撃は今も続いていますが、より危険で執拗な攻撃が広く行われるようになっています。2012 年末までに、脅威の約 1/4 は、デバイスから機密データ (通常は、連絡先リスト、テキスト メッセージ、パスワード、認証キー、位置データなど) を収集するために設計された「データ スティーラー (データ窃盗)」になりました。7

3 「Nielsen: U.S. Consumers Avg App Downloads Up 28% To 41」、TechCrunch、2012 年 5 月 16 日。4 「Android Will Account for 58% of Smartphone App Downloads in 2013」、ABI Research、2013 年 3 月 4 日。5 「Chinese iOS pirate Kuaiyong launches web app store」、The Register、2013 年 4 月 17 日。6 「Fake apps and the lure of alternative sources」、Microsoft、2012 年 7 月 17 日。 7 「TrendLabs 2012 Mobile Threat and Security Roundup: Repeating History」、Trend Micro。

3 ©2013 Webroot

トップに戻る

ハッカーは、人気のあるアプリケーションを偽装し、正規なアプリケーションに悪意のあるコードを追加して「再パッケージ化」する手口を身に付けています。たとえば、Pinterest、Skype、Angry Birds、Instagramm や、Plants vs. Zombies、Grand Theft Auto III などのゲームには偽造バージョンが存在します。偽造または改ざんされたアプリケーションは以下のような動作をします。

• ユーザーをアンケートやゲームの Web サイトに誘導し、不必要または法外な料金を発生させる。

• SMS の送受信機能を支配するマルウェアをダウンロードして、 隠しメッセージを送信し、ユーザーが気づかない間に料金を発生させる。

• 電子メール アドレスや電話番号などのデバイス情報を取得する。8

サイバー犯罪者はまた、PC ベースの攻撃から習得したフィッシングやソーシャル エンジニアリング手法も改変しています。亜種として、「スミッシング」(SMS ベースのフィッシング攻撃) や、専用に設計した隠しまたは詐欺 URL で偽のバンキング Web サイトにユーザーを誘導して口座番号やパスワードを盗み取る手法があります。

モバイルの世界にも、特定の標的を狙った高度な APT (Advanced Persistent Threat) 攻撃が現れ始めています。チベットの人権団体に対するこうしたターゲット型攻撃の記録をトロント大学がまとめています。攻撃者は、人気の Android モバイル メッセージング クライアントであるカカオ トークの再パッケージ バージョンを利用し、スマートフォン上の権限を変更して、連絡先、通話履歴、および SMS メッセージを抜き出しました。9 この攻撃は人権団体を狙ったものでしたが、モバイル アプリケーションがすぐに企業や政府機関を標的とした攻撃に使用される可能性があることを示唆しています。

また、ある研究者グループは、セキュリティ侵害されたモバイル デバイスが、職場で盗撮、会話の盗聴、GPS データの収集などのスパイ行為に使えることを具体的に指摘しています。さらにジョージア工科大学のコンピュータ科学者は、机においたスマートフォンの加速度計を使用して近くにあるキーボードの振動を検出し、単語を最大 80% の精度で収集する方法を実演してみせました。10

長期間放置される脆弱性。PC と同様に、モバイル アプリケーションでも、インストールされたソフトウェアの脆弱性をマルウェアに利用されてデバイスが支配されることがあります。問題なのは、モバイル システムのソフトウェアにパッチを適用するためのインフラストラクチャが十分に発達していないことです。たとえば、Google が Android オペレーティング システムの脆弱性を発見した場合、各デバイス メーカーが自社のデバイス用にパッチを作成する必要があります。すべてのスマートフォン メーカーがそれぞれの Android バージョンにパッチを提供するまで数か月かかる場合もあります。

情報を知らないエンド ユーザー。多くの人が、ラップトップやデスクトップ PC へのフィッシング、マルウェア、ソーシャル エンジニアリングなどの攻撃に関する報道を目にしています。それに比べ、モバイル デバイスに対する脅威の存在を認識しているユーザーは非常に少数です。たとえば、急速なバッテリの消耗、パフォーマンス低下、データ使用の急激な増加など、モバイル デバイスで悪意のあるアプリケーションが示す兆候もほとんどの人は知りません。

8 「Pinterest Plagued by More Scams, Fake Android Apps」、PC Magazine、2012 年 4 月 30 日、「Children run up huge mobile bills on fake Angry Birds game」、MailOnline.com、2013 年 1 月 15 日、「Fake game apps flood Google Play」、Help Net Security、2013 年 1 月. 21 日、

「Fake apps and the lure of alternative sources」、Microsoft、2012 年 7 月 17 日。9 「Permission to Spy:An Analysis of Android Malware Targeting Tibetans」、University of Toronto、The Citizen Lab、2013 年 4 月 18 日。10 「Innovative Attacks Treat Mobile Phones as Sensors」、Dark Reading、2011 年 10 月. 27 日、「Mobile Trojans Can Give Attackers An Inside Look」、Dark Reading、2012 年 10 月 8 日。

11 「Five Signs Your Android Device Is Infected With Malware」、PC Magazine、2013 年 4 月 3 日。

4 ©2013 Webroot

トップに戻る

セキュリティを軽視する態度。個人ユーザーは習慣的に、スマートフォンやタブレットをエンターテインメントや個人的なコミュニケーションに使用する私的デバイスと見なしています。それはビジネス情報が含まれている場合でも同じです。そのため、多くのユーザーは、会社の PC やラップトップならば常識である予防措置を講じません。

悪意のあるモバイル アプリケーションに対する防御対策多くのサービス プロバイダや企業は、モバイル マルウェアに対してなんらかの形の「多重防御」を導入しています。よく使用されるテクノロジーや手法として以下のようなものがあります。

• モバイル アンチウイルス ソフトウェアによりモバイル アプリケーション内のマルウェアを検出する。

• MDM および MAM ソリューションを使用し、システム管理者がモバイル デバイスを監視し、デバイスの紛失時には設定をロックして機密データを消去する。

• ユーザー教育により、疑わしいモバイル アプリケーションには近づかず、攻撃の兆候を認識して報告できるような知識をモバイル デバイス ユーザーに身に付けさせる。

• 会社のポリシーにより、従業員が業務以外のアプリケーションをビジネス情報が保存されたモバイル デバイスにインストールすることを禁止すると共に、承認されたアプリケーション ストアの利用を義務付ける。

• 会社のアプリケーション カタログを提供し、従業員が会社によるテストと承認を経たアプリケーションにアクセスできるようにする。

ただし、これらの防御措置が十分であるという保証はありません。モバイル アンチウイルス製品は、既知のマルウェアは十分にブロックできますが、再パッケージされた有害なモバイル アプリケーションの亜種すべてを認識できるわけではありません。MDM および MAM 製品を使用すると、デバイスには常に最新のパッチが適用されるため、悪意のあるアプリケーションが付け入る脆弱性は少なくなりますが、前述のように、長期間パッチが提供されないことがよくあります。そして、企業がデバイスを外部から遮断してユーザーの行動を完全にコントロールしない限り、セキュリティ教育、会社のポリシー、承認されたアプリケーション カタログを無視する従業員が必ず現れます。

最新の防御手段: モバイル アプリケーション レピュテーション サービスモバイル アプリケーション レピュテーション サービスは、悪意のあるアプリケーションに対する画期的な新しい防御アプローチです。以下のように配備できます。

• アプリケーション ストア、通信事業者、モバイル サービス プロバイダ、モバイル デバイス メーカーに配備して顧客を保護する。

• MDM、MAM、およびその他のセキュリティ ベンダーに配備してサービスの効果を高める。

• 企業や政府機関に配備して企業のアプリケーション カタログのセキュリティを強化する。

モバイル アプリケーション レピュテーション サービスの処理は、収集、分析、分類、共有の 4 段階で構成されます (次のページの図 1 を参照)。

5 ©2013 Webroot

トップに戻る

収集フェーズでは、サービスがアプリケーション ストアと Web サイト、ユーザー、セキュリティ情報クリーニング ベンダー、他のセキュリティ ベンダーから数百万のアプリケーションを収集します。

分析フェーズでは、以下を含むさまざまな技法を使用してアプリケーションを厳密に調査します。

• ファイルの構造および内容の静的分析。

• アプリケーション動作の実行時分析。潜在的な悪意のあるアクションを検出します。

• 市場分析。セキュリティ ベンダーや企業で以前に識別されたマルウェアとの類似性を検出します。

分類とスコアリングフェーズでは、分析フェーズで収集されたデータをまとめて重み付けし、レピュテーション スコアをアプリケーションに割り当てます。

共有フェーズでは、アプリケーションのスコアとフィンガープリントを、アプリケーション ストア、サービス プロバイダ、セキュリティ ベンダー、企業、その他のサービス登録者と共有します。

登録組織は、スコアとフィンガープリントを使用してブラックリストとホワイトリストを作成したり、リスク レベルに基づいてグレード別の対応 (ブロック、レビュー用に隔離、警告と許可など) を有効にしたりします。.

すでに複数のプロバイダがモバイル アプリケーション レピュテーション サービスを提供していますが、その内容は異なります。それぞれの有効性は以下のような要素に応じて異なります。

• 収集作業の範囲

• 脅威データベースのサイズ

• 分析の質と度合い

• 分類の精度

• 提供される情報の範囲と全体的なレピュテーション スコア

次に、Webroot の Mobile App Reputation Service がこうした領域でどのように機能するかを見てみましょう。

図 1: Mobile App Reputation Service の処理は 4 フェーズで構成される。

6 ©2013 Webroot

トップに戻る

Webroot Mobile App Reputation ServiceWebroot Mobile App Reputation Service は、高度で柔軟なツールにより、アプリケーション ストア、通信事業者、モバイル サービス プロバイダ、MDM ベンダー、企業などに、無秩序なマーケットのモバイル アプリケーションに伴うリスクについて、正確かつ微妙な差異を含む情報を提供します。

Webroot のサービスは、まったく新しく作成されたものではありません。世界で最も大規模で包括的な脅威データベースの 1 つである Webroot Intelligence Network (WIN) と、PC とラップトップのアンチマルウェア市場で長年の実績を持つ Webroot の非常に高度なアンチマルウェア分析テクノロジーをもとに構築されています。

ここでは、Webroot Mobile App Reputation Service が前述の 4 つのフェーズでどのように機能するかを簡単に説明します (図 2 を参照)。

収集Webroot Mobile App Reputation Service は、幅広いソースから数百万ものモバイル アプリケーションを収集します。

Google Play のような大手アプリケーション マーケットプレースや、数多くの比較的小規模で既知のアプリケーション マーケットからアプリケーションをダウンロードすると共に、新しいアプリケーションや既知のアプリケーションの新バージョンがないかこれらのサイトを監視します。

Webroot ではまた、Web クローリングおよびスクレーピング テクノロジーも使用して、モバイル アプリケーションに対するユーザーの評価やフィードバック、アプリケーション マーケット Web サイトでのアプリケーション カテゴリ、モバイル アプリケーションのリスクに関する評価データをスキャンします。

Webroot は、セキュリティおよびアプリケーション データの提供に同意した、エンドポイントおよびモバイル保護サービスを利用する数百万もの個人ユーザーと企業ユーザーから収集したアプリケーション情報を利用します。また、他のセキュリティ ベンダーとのファイル共有プログラムにも参加しています。

図 2: Webroot Mobile App Reputation Service の概要。

7 ©2013 Webroot

トップに戻る

モバイル アプリケーション データは、100 TB 超の共有データが格納されたクラウド ベースのデータベースである WIN に保存されます。

分析Webroot Mobile App Reputation Service は、新しいアプリケーションに関するデータを収集した後、以下のような情報の詳細な分析を実行します。

• マニフェスト、証明書、バイナリ ファイルなど APK (アプリケーション パッケージ ファイル) の詳細。

• コードのヒューリスティックおよび統計分析。既知の悪意のあるソフトウェアの再パッケージまたは再コンパイル バージョンを識別します。

• 安全なサンドボックスでアプリケーションを実行して収集した疑わしい行動 (電話番号や電子メール アドレスを収集しようとする動作、権限の変更、追加の機能を有効にしようとする動作、ブラウザやブックマークの変更など)。

• 実行時に既知の不正および疑わしい IP アドレスや URL にアクセスしようとする動作 (WIN の IP および URL レピュテーション データベースに基づく)。

• アプリケーション名およびフィンガープリント (MD5 ハッシュ) と、他のセキュリティ ベンダーが提供するマルウェア データの比較。

• アプリケーション マーケットプレースやその他の Web サイトから収集したフィードバックとアプリケーション メタデータの相関付け。

これまでに行った 370 万の Android および iOS アプリケーションの包括的な分析から、そのうち 12% は悪意のあるコードに感染していることが判明し、モバイル脅威はすでに危険な閾値に達していることが確認されました。

分類とスコア分析フェーズを完了した Webroot Mobile App Reputation Service は、ニューラル ネットワーク ベースの分類機能を使用して、分析結果を複合的なレピュテーション スコアに集約します。

未加工のレピュテーション スコアは、各等級にグループ化されます。

• 有害: 既知のマルウェア (トロイの木馬やルートキットなど)。

• 迷惑:既知のマルウェアではないが、迷惑な特性を持つ。

• 疑わしい:マルウェア定義は見つからなかったが、いくつかの分析モジュールが有害または迷惑スコアを付けている。

• ほぼ安全: 安全と思われるが、危険な権限が含まれる (SEND SMS など).。

図 3: 登録者はレピュテーション データを使用し、リスクに合わせて対応を調整できる。

8 ©2013 Webroot

トップに戻る

• 安全: ホワイトリストには登録されていないが、危険な権限は含まれていない。

• 信頼できる: ホワイトリストに登録されている。

これらの等級によって、サービスに登録する組織は、ブラックリストやホワイトリストの作成や、アプリケーションのリスク レベルに合わせたさまざまな対応 (ブロック、レビュー用に隔離、エンド ユーザーに警告、対応を待機、許可など (図 3)) の有効化がしやすくなります。

共有Webroot Mobile App Reputation Service は、RESTful Web サービス アプリケーション プログラミング インターフェイスを介してリスク等級を登録組織と共有します。

アプリケーションごとに、登録者は、大まかな等級だけでなく、ファイル、マニフェスト、デジタル証明書、権限要求、電話機能要求、最近追加されたファイル、Google Play 情報、市場での普及などに関するより詳細な情報にもアクセスできます。

この詳細を使用し、登録者は特定の利用者にとって重要な事項に基づいてリスク ランクを変更できます。たとえば、サービス プロバイダが担当する企業または政府機関で位置情報が機密である場合、デバイスの GPS データにアクセスしようとするアプリケーションすべてのリスク等級は高くなります。

サービス プロバイダと企業にとってのビジネス価値モバイル アプリケーション ユーザーにとってセキュリティが主要な問題になると、ユーザーや企業、従業員の要求や期待も変化します。

• ユーザーは、アプリケーション マーケット ベンダーや Web サイトに対し、提供するアプリケーションのスクリーニングやチェックを高い基準に基づいて行うことを求めます。

• ユーザーは、通信事業者、モバイル サービス プロバイダ、機器メーカーに対し、製品やサービスに実効性のある保護対策を組み込むことを期待します。

• 企業は、MDM ベンダーやその他のセキュリティ企業に対し、有効なモバイル セキュリティを求めます。

• 従業員は、企業の IT 部門に対し、従来の PC マルウェアの場合と同様に、悪意のあるモバイル アプリケーションから保護することを期待します。

こうした状況では、モバイル アプリケーション レピュテーション サービスが、信頼性を維持して競争力を高めるための重要なツールになります。

市場で最も高度で強力なモバイル アプリケーション レピュテーション サービスの 1 つである Webroot Mobile App Reputation Service は、高パフォーマンスかつ高信頼性の安全なクラウド サービスとして配備され、業界をリードする使いやすいエンドポイントおよびモバイル デバイス保護の提供で比類のない実績を持つ Webroot がサポートします。

詳細は、以下のサイトをご覧ください。 www.webroot.com/En_US/business/security-solutions/mobile-app-reputation