アプリマーケット解放は朗報か悪夢か?
消費者およびアプリベンダー、開発者にとっては朗報ととらえることができる。公式マーケット以外のスマホアプリの取引が自由になり、価格競争も起きやすくなる。個人が自由に自作アプリを販売できるようになるかもしれない。企業も自社サイトやエコシステムにアプリ販売、アプリによるユーザーサポートを組み入れるなど、ビジネスを広げやすくなる。
だが、セキュリティ的には「悪夢」でもある。これまで非公式マーケットが制限されていたのは、怪しげな野良アプリ、不正アプリ、詐欺や犯罪などを封じ込めるためでもあった。これまでも、アプリマーケットを独占することによる優先的地位の濫用や、不透明なアプリ審査基準や審査手続きへの疑念が指摘されてはいたが、今後は、グーグルやアップルの審査を受けない低品質、悪質なアプリがはびこる可能性もある。
これまでスマートフォンは、アプリが公式マーケットの管理下に置かれていたことと、OSの設計や構造がWindowsやLinux、MacOSとは異なるため、ウイルスやハッキングのリスクは(PCよりは)低いとされていた。スマートフォンにウイルス検知ソフトは不要という考え方も一定の合理性をもって受け入れられていた。
しかし、スマホアプリ市場が開放されたことで、これらの前提は崩れる。ユーザーはあらためてスマホにまつわる脅威について振り返ってみる必要がある。企業支給の端末についても同様だ。
アプリマーケット解放によるリスク:マルウェア
スマホ新法は、潜在的なマルウェア感染のリスクを高めると思ったほうがいい。安いから、SNSに口コミがあったから、という理由での安易なアプリダウンロードには、これまで以上に注意する必要がある。詐欺アプリ、偽アプリばかりでなく、スマホ向けのサイト、リンクにも注意が必要だ。
2025年にはゼロクリックで任意コードを実行する脆弱性が発見された(CVE-2025-48593)。これはAndroidの脆弱性だが、Bluetooth通信の関数に問題があり、ユーザーの操作なしで攻撃コードを実行できるというものだ。すでにセキュリティパッチが公開されているが、Bluetoothによる無線通信を利用するため検知が困難だ。対象となるAndroidのバージョンは13、14、15と16の一部。パッチを当てられない場合は、BluetoothをOFFにするしかない。
インフォスティーラー(情報窃取マルウェア)は、国家支援型のAPT攻撃にも使われるマルウェアだが、オンラインバンキングを狙った攻撃でも多用される。オンラインバンキングや決済端末であるスマホはPCと同様に狙われている。
キーロガーの機能も備えており、パスワードなどの認証情報、カード情報を窃取する。さらにデバイス内部をハッキングし、ブラウザの各種クッキー情報もターゲットとしている。クッキーには、ログインセッションのキーが含まれているので、なりすましや乗っ取りに利用できる。
スクリーンショットやカメラ・マイクを使って盗聴・盗撮を実行するスパイウェアもやっかいだ。スマホのスパイウェアといえばイスラエルNSO社の「ペガサス」が有名だ。ペガサスのユーザー(得意先)は、各国の諜報機関、軍、警察が多い。以前はAPT攻撃のような国家支援型攻撃でよく確認された。現在は、ペガサス以外のスパイウェアが、ランサムウェアの初期侵入のための情報収集に利用されている。
中国もスパイウェアに力を入れている国のひとつだ。中国は国内外の人民統制にスパイウェアを利用しているといわれている。国際情勢の変化から、スパイウェアのニーズが官民問わず増えているためか、スマホのスパイウェアが問題になっている。
ロイター:西側情報機関、中国製スパイウェアによる監視強化に警鐘
https://jp.reuters.com/world/taiwan/K3FWSXFL5NMYZILE7MEM7XCT7Q-2025-04-09/
ネットワークに潜むリスク
PCやスマートフォンの脅威として、「Evil Twin」などと呼ばれる偽Wi-Fiスポット、野良Wi-Fiスポットがある。外出先では無料のアクセスポイントを使いたくなるが、業務端末は会社のポリシーにしたがって、VPNや多要素認証による接続を前提とする。連絡もエンドツーエンドで暗号化されたメッセージサービス、業務用グループウェアを基本としたい。
VPN接続をサービスとして提供する事業者やスポットがある。無料サービスなどもあるが、これらは会社がリモート接続用に用意するものではないので、Evil Twinと同様な注意が必要だ。有償でも管理事業者がはっきりしないサービスは利用しないことだ。
リモートワークやゼロトラストネットワークの考え方が浸透してきた現在、外でのWi-Fi接続のルールも変えざるをえない(一律禁止ができないことある)が、偽スポット、悪質VPNポイントの脅威がなくなったわけではない。
ダウングレード攻撃:偽基地局のリスク
Wi-Fi、Bluetoothなど無線接続のプロトコルを利用した攻撃もある。ダウングレード攻撃は、OSやアプリのバージョンを下げて、セキュアではない古い通信を確立させて、ハッキングを行うものだ。プロトコルの脆弱性、スマホや機器の設定ミスを利用してこのような攻撃を行う。
アプリやOSを最新のものにしていても、下方互換性を確保するため、古いプロトコルや接続を完全に停止させない機器は多い。明示的に機能を停止させないと、古いプロトコルに自動でダウングレードしてしまう。
偽基地局や偽スポットを立てて、暗号化通信の脆弱性のあるSSL3.0に変更したり、利用する回線を2G、3Gにしたり、認証方式をID/パスワードだけの古い方式に戻したりして、システムに侵入する。基地局の認証が完全ではない2G、3Gは、攻撃者が設置した偽基地局によって通信を盗聴されたり認証情報を抜かれたりする。
NFCも攻撃に利用できる
スマートフォンのNFC(Near Field Communication)もアタックサーフェス(攻撃面)となりうる。NFCの微弱電波を中継するリレー攻撃やスキミングによって決済情報が盗まれることがある。NFCの初期のプロトコルはセキュリティが万全ではない。2025年には、偽のカードリーダーや汚染されたカードリーダーがセキュア通信を失敗させて、古いプロトコルで接続する攻撃方法が指摘され問題となった(現在、多くの実装は対策済み)。
スマートフォンをマルウェアに感染させ、タッチ決済のときに認証情報を盗み取る攻撃もある。
サービス提供者が、利用者の便宜を図るため、複数のログイン方法を用意することがある。決済を短時間で終了させたり、クリックや操作を減らす目的で、たとえば多要素認証や追加認証をバイパスできる機能にも注意が必要だ。証券取引などで秒を争うトランザクションのためにワンクリック決済があると、口座の乗っ取りなどが発生する。
その他の脅威:生成AIやスマホのBad USB化
スマホを経由してPCへの攻撃はどうだろうか。スマホのUSBポートを利用してPCに接続してデータを同期させたりコピーすることがある。このときスマホが何らかのマルウェアに感染していれば、スマホを「Bad USB」化させることができる。PC側にマルウェアを送り込んだり、PCの情報を盗んだりする攻撃だ。
このような被害は多くはないが確認されている。
他にも生成AIを利用した音声合成やチャットボットによる詐欺も起きている。詐欺グループが生成AIで作った重役のディープフェイク動画を使って経理担当者を騙すというBECのディープフェイク版のような事件も起きている。
日経新聞:会議相手はフェイク動画、40億円被害が示す詐欺AIの進化
https://www.nikkei.com/article/DGXZQOUE07DVC0X00C24A6000000/
攻撃者は生成AIを駆使して、攻撃そのものを自動化しつつある。防御側も脆弱性診断やペネトレーションテストに生成AIを活用して自動化する動きがある。スマホにそのような詐欺電話の着信があっても不思議はない。
対策は? 基本を怠らないことが重要
対策としては、まずOSやアプリを最新のものに保つことが基本となる。また、不審サイトへのアクセス、不審なソフトウェアのインストールには十分警戒すること。ジェイルブレイク(iPhoneの保護機能を無効にする「脱獄」)やセキュリティ設定を無効化させるようなアプリ、必要のない権限を要求するアプリは、公式マーケット以外が解禁されたいまこそ忘れないようにしたい。
マルウェアは、シグネチャ検知をすり抜けるものが自動生成できる時代だ。したがって、スマホでのアンチウイルスソフトの効果が限定的になっている。
そのため、通信の監視、出口対策が重要になる。監視や出口対策の強化が必要なのは、PCや一般的な企業セキュリティでも同じことが言える。スマホでは、URLフィルタリングやトラフィック監視によって、悪性サイトや悪意のあるサーバーへの接続回避(ブラックリスト管理)を強化する必要がある。業務用ならば、セキュアブラウザの導入やスマホ用の監視エージェントの導入も有効だろう。
もうひとつ忘れてはならないのは、物理セキュリティだ。多要素認証やパスキーの利用が広がっている。これらの新しい認証には、スマートフォンのデバイス認証(パスコード、指紋、顔認証)が要となっている。このことは、スマホが盗まれたり紛失して人の手に渡った場合、自分のなりすましを許してしまい、被害インパクトが大きくなることを意味する。
どれも特別な対策ではない。基本的な対策を怠らないことが安全への近道である。
