モバイルを狙う脅威が拡散 ~手口を知って適切なガードを固めるモバイルセキュリティ~

 2020.03.03  EDR実践ポータル

モバイルを狙う脅威が拡散 ~手口を知って適切なガードを固めるモバイルセキュリティ~

モバイル環境は格好のターゲット

スマートフォンやタブレット端末などのモバイル機器は、デスクトップPCにも近い機能を持つようになりましたが、企業の情報システム利用においては、ユーザーのモバイルに対するセキュリティ意識は、まだまだ低いのが実情ではないでしょうか。特に、ビジネスにも日常生活にも密着しているスマートフォンはその傾向が強いようです。

サイバー犯罪を企てる攻撃者の大きな目的のひとつは、換金性が高いか、バンキングサービスなどで不正送金の操作につなげられるデータの取得です。1台のモバイル端末には、コミュニケーションや業務処理、金融サービスなどのアプリケーションが集約され、常に外部と通信を交わしています。仕事にモバイル端末を利用していれば他者の個人情報も、ビジネス情報も攻撃者グループの標的になる可能性があります。実際、デスクトップコンピューティング以上に危険な環境にあり、攻撃者の格好のターゲットになり得るのです。

「Marcher」を起点に被害が深刻化

モバイルを狙った攻撃の深刻さが知れ渡った事件として、偽装したモバイルバンキングのサイトに誘い、ユーザーのクレジットカード情報を搾取した「Marcher」が挙げられます。国内での発覚は2013年。数年後に確認された亜種は、バンキングサービスで2要素認証の一部として使われるコードをモバイル端末から傍受し、個人情報を盗む機能を備えていました。

この頃からモバイルを狙う脅威は多様化し、2016年には日本語版のランサムウェアも見つかっています。被害の度合いも増していて、スマートフォンが普及した当初はゲームの無料使用権やポイントの横取りを狙うような行為が多かったのですが、2010年代の中頃からは、高額の被害が出る事件も多発しています。

攻撃は六つのルート

ここ数年で多様化したモバイルへの脅威ですが、そのほとんどは以下の六つのタイプに分類できます。

  1. リモートアクセスツール
  2. スパウズウェア/ストーカーウェア
  3. バンキング型トロイの木馬
  4. モバイルランサムウェア
  5. クリプトマイニングマルウェア
  6. 広告クリック詐欺

1.リモートアクセスツール(RAT)

遠隔地の情報機器を操作するリモートアクセスに使うツールは、モバイル環境では特に危険な存在です。RATを通じて、端末のマイクやカメラなどのハードウエア、アプリの操作もできてしまうからです。アクセスできる情報は、端末の詳細仕様やインストールされたアプリの種別、位置情報、通話履歴、アドレス帳、Webの閲覧履歴、SMS(ショートメッセージ)の内容等など。

モバイルRATは、デスクトップを標的とするツールをカスタマイズして作られたものが多く、通常の方法ではアクセスできない“ダークWeb”などで流通しています。

2.スパウズウェア(Spouseware)/ストーカーウェア(Stalkerware)

モバイル端末の利用者を監視する目的に使われるソフトで、“配偶者監視用マルウェア”、“ストーカーウェア”とも呼ばれます。端末に実装されたRATの機能を使って、マイクやカメラが拾う情報、位置情報、アプリの稼動状況などのデータを収集し、標的の動きをトレースするものです。

法的には必ずしも違法ではなく、企業が従業員を、保護者が子供を脅威から守る、という大儀もあり、商用ソフトも流通しています。一方、攻撃者にとっては、標的の情報を取得できる格好のツールで、国家レベルの情報収集活動に使われることもあります。このツールの道義的な側面は置くとして、データは管理サーバーに蓄積されますから、保存~取り出しの過程で情報が流出するリスクはなくなりません。

3.バンキング型トロイの木馬

金融機関の口座情報を搾取するこの攻撃には、極めて巧妙なマルウェアが使われます。正規ソフトを装って端末に潜入した後、しばらくは鳴りを潜め、モバイルバンキングへのアクセスが発生すると、ログイン情報の入力画面を重ねて表示(オーバーレイ)。ここから口座情報、ID、パスワードなどを盗み取ります。

バンキングサービスでは、ワンタイムパスワードを使う2要素認証も常用されますが、導入環境でも安心はできません。銀行がSMS(ショートメッセージ)で送信したコードを傍受し、攻撃者のサーバーに転送した例も確認されています。盗用したコードは自動化されたプロセスが直ちに実行し、正規ユーザーより先に口座へのアクセスを試みます。

CROWDSTRIKE FALCON FOR MOBILE
ランサムウェアの進化:新たな攻撃トレンドとメソッドから組織を保護する方法

4.モバイルランサムウェア

ファイルを暗号化し、復号化に必要なキーと引き換えに身代金(ランサム)を要求するランサムウェアは、2017年に「WannaCry」が世界中のデスクトップマシンで被害を出してから、広く知られるようになりました。

モバイル端末では、暗号化のためのCPUや電源のリソースが十分に確保できず、ファイルをクラウドに保存するケースも多いため、PC向けとは違う手口が使われます。モバイルランサムウェアの多くは、端末をロックして解除するためのキーと引き換えに身代金を要求してきます。2017年に被害が確認された「LeakerLocker」のように、 サーバーに保存した個人情報をアドレス帳に登録されているすべての宛先に送り付けると脅すタイプもあります。

5.クリプトマイニングマルウェア

クリプトマイニング(暗号通貨の採掘)は、ビットコインやイーサリアムなどに代表される暗号通貨の正当性を保証するための計算で、複雑な暗号問題を解くことで、報酬として暗号通貨が得られます。マイニングは計算量が多い方が有利ですから、マルウェアの作者は他者のリソースを乗っ取って計算させることを企てるのです。

不正ソフトが動作する経緯は、他のアプリに隠れて実行するトロイの木馬型と、端末に搭載されたブラウザからJavaScriptを動かす形が知られています。リソースに制限があるモバイル機器は、1台あたりの成果は少ないとしても、端末の数がぼう大ですから、攻撃者にとって魅力ある対象であることに変わりありません。一方、暗号通貨の価値は3~4年前のピーク時に比べ下降しているため、市場を反映して鎮静化する兆しもあります。

6.広告クリック詐欺

広告のクリック数に応じて報酬が発生する仕組みを悪用し、ユーザーの意志に関係なく勝手にクリックさせるマルウェアも確認されています。その手口は、攻撃者が関与する広告リソースのURLを指定するリクエストを、何らかの手段で送り込むというものです。

ユーザーには直接的な被害は与えないようにも映りますが、サイトの構成よっては有料ページのコンテンツをロードさせるような操作もできてしまいます。モバイル端末のCPU、バッテリーなどリソースの消費も軽視はできません。

マルウェア拡散の2大ルートは?

マルウェアを配布する方法には、まずトロイの木馬型があります。個人情報の搾取や広告クリックなどを実行させるソフトを、ゲームやユーティリティツールに運ばせるのが典型的な手口です。

モバイル環境では、iOSとAndroidのアプリを供給する公式のアプリストアがありますから、一定レベルのガードは確保されます。特にApple社はより厳格な審査を行なうため、不正ソフトが入り込む余地は少ないのですが、検査をすり抜けることも皆無ではではありません。2018年には、サイトの閲覧履歴を収集するソフトが仕込まれていたケースも見つかっています。

トロイの木馬と並んでよく使われる手段はフィッシング。攻撃者のサイトに誘導するリンクを含むメールやSMSを大量にばらまき、おびき寄せたユーザーにマルウェアをインストールさせる手口です。

最近では、金融機関を狙うトロイの木馬型マルウェア「Exobot」が、SMSを使ったフィッシングから拡散した事件もありました。また日本と韓国が狙われた「MoqHao」は、SMSでアプリのダウンロードを促し、有効化されているマイクからの音声やSMSの内容を搾取する攻撃として知られています。

サイト改ざんと内部の悪意にも留意を

サイトを改ざんしてマルウェアを仕込む手口も健在です。既知のサイトを使うユーザーは安心感があるため、攻撃の成功率は高まるでしょう。ただし、App Store以外ではアプリを配布しないiOSはターゲットから外れ、Android版も“アプリは信頼できるソースから入手する”という基本原則のガードは機能します。

これ以外にも、モバイルOSをカスタマイズしてデバイスの出荷時に搭載するサービスでは、OSの実装時に不正ソフトが仕込まれるリスクはあります。また正規のアプリであっても、開発者の意図に反してソースコードが改ざんされるケース、供給側のミスや悪意からマルウェアが埋め込まれる事案もゼロではありません。

モバイルを狙う脅威の兆候は?

サーバーやPCをガードする技術は、世界各国のセキュリティ企業、調査機関も研究を重ね、情報を共有する体制の整備も進んでいます。一方、歴史が浅いモバイルの分野は、まだ十分に熟してはいません。デスクトップコンピューティングの安全対策が進展すればするほど、攻撃者はより敷居が低い領域に標的を切り換えてくるのは自然な流れでしょう。

リモートアクセスツール、バンキング型トロイの木馬、モバイルランサムウェアなど、今回採り上げた攻撃手法は、年々、先鋭化、巧妙化し、そしてスケールが大きくなっていくはずです。特に金銭的な利益が大きい金融機関を狙うマルウェアは、より狡猾な新種・亜種の投入が加速していくと思われます。

大規模化の例では、例えば、RATを使って端末の情報をトレースする技術が、特定の政治勢力、企業グループを狙う犯罪につながる兆候が出てきています。ランサムウェアの領域でも、犯罪者は個人を狙う攻撃から、企業の顧客、関係者を標的にして、より巨額の利益が得られる方策に向かうことは確実でしょう。

脅威への対策は“基本の実践”

セキュリティ関連のニュースでは、モバイルに対する脅威も、先鋭的な攻撃だけにスポットが当たる傾向はありますが、実際に企業や個人ユーザーが受ける攻撃の多くは既知のものです。新たな脅威を含め、安全対策の根幹はやはり、以下に挙げる基本に立ち返ることです。

  1. 信頼できるアプリソース(公式アプリストア)の利用
  2. フィッシングメール対策を徹底
  3. OS、アプリの更新、パッチ適用
  4. モバイルデバイス管理システム(MDM)の適切な運用
  5. モバイル用EDRの活用
  6. 物理デバイスのセキュリティを維持

まずシステム面の対策では、4.のMDM(Mobile Device Management)は多くのモバイルデバイスを運用する組織において、ハードウエアとOS、アプリケーションを管理するシステム、そして5.EDR(Endpoint Detection and Response)は、エンドポイントセキュリティの1分野で、端末情報アクティビティを可視化し、万一のマルウェアの侵入に備え、検知と修復を行なうソリューションです。

1.と2.、3.、そしてモバイル機器の紛失や盗難に備えてパスワード強化や生体認証を活用する6.は、いずれも運用の領域です。モバイルの脅威への対応も、確実な運用体制を維持するという基本原則は、デスクトップコンピューティングの安全対策から外れるものではありません。

一方、モバイル特有のリスク、例えば、公式アプリストアから入手するソフトもリスクはゼロではないこと、2要素認証が新たなターゲットになるといった事案は、留意しておく必要があります。モバイル機器の特性とモバイルマルウェアの機能と特徴を押さえた上で、基本の実践を進めるようにしてください。

2019モバイルを狙う脅威に関するレポートLANDSCAPE REPORT

RECENT POST「セキュリティ全般」の最新記事


モバイルを狙う脅威が拡散 ~手口を知って適切なガードを固めるモバイルセキュリティ~
2019モバイルを狙う脅威に関するレポート LANDSCAPE REPORT

RANKING人気資料ランキング

RECENT POST 最新記事

ブログ無料購読

RANKING人気記事ランキング