ホーム > Global Perspective 2012 >
Global Perspective 2012
2012年12月28日掲載

急増するモバイル向け不正アプリと求められる危機管理力

(株)情報通信総合研究所
グローバル研究グループ
佐藤 仁
このエントリーをはてなブックマークに追加

2012年も多くのサイバー攻撃に関して、なりすましや遠隔操作、標的型攻撃など国内外で多数の事例やニュースが目立った。本稿執筆時もGmailアカウントの乗っ取りによる不正アクセスが話題になっている。
 サイバーセキュリティの問題が国家から企業、個人まで関わるようになってきている。そして2012年に最も顕著だったのが、スマートフォンの急速な拡大に伴うモバイル・マルウェアの増加だろう。モバイルでのセキュリティ対策は他人事ではなくなってきている。

急増するモバイル不正アプリと巧妙化する手口

2012年12月21日、セキュリティ会社トレンドマイクロは、2012年のインターネット脅威レポートの速報版を発表した(※1)。サイバー犯罪の高度化や日本に特化した犯罪などが挙げられたが、特筆すべきはモバイルを標的にした不正アプリ(マルウェア)が急増したことだ。

その背景には、AndroidOSを搭載したスマートフォンの普及に伴って、マルウェアも多数登場してきたことにある。Androidの不正アプリは、2010年8月に初めて確認された。2011年11月には約1,000個だったが、2012年11月には300倍の31万4,000個まで増加した。
 不正アプリを使わせる手法も、2012年前半はゲームやアダルト動画再生プレーヤーになりすますものが出現していた。このようなアプリは「怪しい」と思ってダウンロードする人も少なくなってきた。そのせいか2012年後半には電波やバッテリの状況を改善すると称する不正アプリが登場してきた。あたかも「便利そうだ。」と思わせ、アプリをダウンロードさせようとしている。配布サイトで偽の口コミ情報を掲載するなど、騙しのテクニックも非常に巧妙化している。

【主な不正アプリの事例】(トレンドマイクロ社の公開情報を元に作成)

  1. 2012年1月:アダルトコンテンツの再生アプリと偽り、感染すると5分おきに金銭の請求画面を表示するワンクリックウェア
  2. 2012年4月:エンターテイメント系の動画を装い感染すると端末本体の電話番号のほか、電話帳に記録していた名前、電話番号、メールアドレスを外部のサーバに不正に送信する不正アプリ
  3. 2012年8月:「Power Charge」「電池長持ち」「電波改善」「app電話帳リーダー」「無料電話」などスマホの機能改善ツールを装った不正アプリ
  4. 2012年9月:「安心ウイルススキャン」といったセキュリティソフトを装った不正アプリ

(表1)Android端末に感染する不正アプリ数
2011年12月〜2012年11月(累計)
(表1)Android端末に感染する不正アプリ数 2011年12月〜2012年11月(累計)

(出典:トレンドマイクロ社)

求められる危機管理

最近ではスマートフォンやタブレットの普及に伴いBYODというワークスタイルが注目されている。これは「Bring Your Own Device」の略で、社員が個人の私物の端末を企業内に持ち込んで業務に活用することである。BYODで利用している端末に不正アプリが見知らぬうちにダウンロードされてしまい、情報漏洩など業務に差し支えがあるような問題にならないよう、万全の注意が必要である。現在では、BYOD向けソリューションでも一番注力しているのがセキュリティ関連である。また個人向けの様々なセキュリティソフトも登場している。

何よりも重要なのは、利用者一人一人の意識と対策である。怪しいサイトからのダウンロードをしない、といった細心の注意が必要になってくる。そしてもし騙されてダウンロードしてしまい被害にあった場合の対応策を平時から検討する必要がある。

スマートフォンは小さなパソコンである。会社のパソコンならシステム管理者が保守管理してくれるだろう。しかし個人のスマートフォンは各人が責任をもって自分の身は自分で守らなくてはならない。様々なセキュリティ対策が講じられているが、今後もますますスマートフォン向けの不正アプリは増加していくことが想定される。
不正アプリに騙されない、ダウンロードしないための「事前の対策(リスク・マネジメント)」と、万が一ダウンロードしてしまった場合の「事後の対応(クライシス・マネジメント)」を改めて確認しておく必要がある。スマートフォンの利用においても各人の危機管理力が求められてくる時代になっている。

そして、危機管理力はモバイル向け不正アプリだけではなく、あらゆるサイバー攻撃にあてはまる。再度、サイバーセキュリティに対して、

  1. 「事前予防(リスク・マネジメント)」
  2. 「事後対応(クライシス・マネジメント)」

の危機管理体制が万全か確認しておくことを推奨する。

※1 トレンドマイクロ社「インターネット脅威年間レポート -2012年度(速報)」
(2012年12月21日)
http://jp.trendmicro.com/jp/threat/security_news/monthlyreport/article/20121218094256.html

*本情報は2012年12月27日時点のものである。

このエントリーをはてなブックマークに追加
▲このページのトップへ
InfoComニューズレター
Copyright© 情報通信総合研究所. 当サイト内に掲載されたすべての内容について、無断転載、複製、複写、盗用を禁じます。
InfoComニューズレターを書籍・雑誌等でご紹介いただく場合は、あらかじめ編集室へご連絡ください。