iOSは本当にAndroidよりも安全なデバイスなのでしょうか? 安全だとするなら、その理由は何なのでしょうか? 生体認証のメリットとデメリットをご存じですか? そもそも、どのアプリケーションが安全なのか、どうやって知ることができるのでしょうか? サイバーセキュリティーサウナのエピソード 46では、よくあるモバイルセキュリティの問題について解説します。これらの質問に誰よりもよく答えることができる2人のモバイルセキュリティ専門家に登場してもらいます。エフセキュアのKen Gannon(ケン・ガノン)とBen Knutson(ベン・ナットソン)がアプリケーションのアクセス許可、企業のモバイルデバイス管理、モバイル衛生に関するヒント、スマートフォンがハッキングされたことを示す兆候などについて議論します。さらに、Facebookアプリケーションがあなたを盗聴しているかどうかについても議論します。
Janne:最初にモバイルセキュリティ分野でのお二人の仕事について簡単に教えてください。 主にどのような仕事をされているのですか?
Ken: 私は、エフセキュアで、主にモバイルセキュリテに携わっています。アプリケーションやデバイスを含めて、AndroidやiOSに関係するものなら何でもテストしています。
何に注目するかに関しては、私はモバイルセキュリティを3つの視点で考えることにしています。1つ目の視点は、アプリケーションは、デバイス上の他のアプリケーションからデータを保護できるようにする必要があります。2つ目は、アプリケーションは、不正なユーザからデータを保護できるようにすべきだということです。3つ目は、デバイスのソフトウェアは、機密情報の侵害に対して責任を負うべきではないということです。
私は、モバイルセキュリティ(MobSec)についての、これらの3つの視点を常に念頭に置いて対象物をテストしたり、モバイルセキュリティコンサルタントとして日々業務をこなしています。
ありがとうございます。Benは如何ですか?
Ben: 私は、2年ほど前にエフセキュアのモバイルセキュリティチームに加わりました。それ以来、iOSとAndroidのモバイルアプリケーションなど、さまざまなクライアント向けのアプリケーションをテストしてきました。また、デバイスのセキュリティ、モバイルデバイス管理ソリューション、スマートフォンアプリケーションとペアリングするスマートデバイスなどのレビューも行ってきました。
その中で、iOSとAndroidの内側で何が起きているのか、また、これらのアプリケーションに共通するセキュリティの脆弱性はどのようなものか、さらに、それらがどのようにしてユーザーの生活を台無しにしてしまうのかについて、多くのことを学びました。
素晴らしいですね。さて、iOSはセキュアでAndroidはセキュアではないという話が良く聞かれますので、その点から始めたいと思います。両方の主張を説明していただけますか。
Ken: 私は、どちらの主張も好きでもあり、嫌いでもあります。Androidはオープンソースですが、どの程度オープンかを調べるため、Android OSとそのアプリケーションをテストするためのツール、技術、方法論があります。一般的には、iOSに比べてAndroidの脆弱性をテストするほうがはるかに簡単です。iOSの場合は、うまくいくかもしれないが、うまくいかないかもしれないというような、いわゆる「場当たり的な解決策」になってしまいます。私はiOSやそのアプリケーションのX, Y, Zをテストする方法を開発してきたつもりです。
Ken Gannon
さらに私が思うに、Android OSに関して言えば、異なるOEMベンダー間でOSがばらばらだということです。人々が最新のデバイスを購入しなかったり、ベンダーが最新のセキュリティパッチでデバイスをアップデートしないことがあるからです。最新のGoogle PixelまたはSamsungデバイスを使用していない限り、既知の問題を抱えた安全でないOSをデバイスに搭載している可能性があります。
その対極にあるのが、数年にわたりサポートが提供されるiOSの唯一の開発者であるAppleのデバイスです。つまり、本当に古いデバイス(Appleの標準では平均5年)を使っている場合を除いて、最新のOSパッチが当たっていることになります。
Ben: OSを最新の状態にして、最新のセキュリティパッチが適用されているかどうかを確認すべきという点では、私はKenとまったく同意見です。
とはいえ、Androidのオープンソース性と、そのアプリケーションのテスト方法に関する理解が深まったおかげで、開発者とセキュリティ専門家の双方にとって、このアプリケーションをテストすることが極めて簡単になりました。また、iOSとは対照的にAndroidアプリケーションを安全に開発することも非常に容易になっています。もちろん、どちらにもテスト方法はありますしツールもありますが、セキュアなAndroidアプリケーションを開発する方が、セキュアなiOSアプリケーションを開発するよりもハードルが低いように感じます。
なるほど。私がよく耳にする議論の1つは、「iOS、つまりAppleの塀で囲まれた庭は、最悪のミスからユーザを守ってくれる。なぜなら、Appleはデバイスにほとんど手を加えさせてくれないから」というものです。この点についてどのように考えていますか?
Ben: 私の意見では、Androidはアプリケーションを簡単にサイドロードしたり、他のアプリストアに簡単にアクセスできるので、あらゆる手立てで、人にしたい放題にさせていると思います。現実的には、Google Playストアも、iOS App Storeもマルウェアから完全に免れているわけではありません。また、Appleが厳しい審査プロセスを実施していても、開発者アカウントを取得するために費用が必要でも、それを乗り越えてiOS上で悪意のあるアプリケーションを公開する人は後を絶ちません。
そのため、壁に囲まれた庭がiOSのセキュリティを根本的に堅牢にしているとは思いません。ユーザーが悪さをするのが少し難しくなっているだけです。
なるほど。
Ken: もう一つの視点は、実際にどのように実装されているかということです。例えば、iOSでもAndroidでも、何らかの生体認証があります。そのため、iOSとAndroidで共有される機能は数多くあります。結局のところ、これらの機能がどのように実装されるかということになります。確かに、iOSはAndroidに比べて機能が安全に実装されているケースを見たことがあります。たとえば、銀行のアプリケーションは、指紋認証を設定することができます。iOSで指紋認証を実装した銀行アプリケーションは安全だと考えられており、すべてのセキュリティ機能、基本的機能が使用されています。しかし、Androidバージョンの場合は、そうではありませんでした。
最終的には、特定の機能を安全に実装する方法や、特定のOS向けに開発する際のベストプラクティスを開発者が理解しているかどうかも重要なポイントになります。
生体認証の話で、2つのエコシステムを比較する際に出てくるものの1つにアプリストアがあります。Appleは1つしかありませんが、Androidでは複数のアプリストアがあり、その中からそれぞれのアプリケーションを探すことができます。では、Androidユーザはどのアプリストアを使えばよいのか、どうやって知ることができるのでしょうか?
Ken: これは私にとってあまり好ましい質問ではないです。なぜなら、私もいつもこの答えを模索しているからです。そして、私が今言える唯一の答えは、おそらく顧客にとっては優しくない答えです。それは、アプリストアで、やみくもにアプリケーションをダウンロードするのは止めて、その会社のWebサイトとアプリケーションを相互に参照するのです。これはかなりわずらわしいことのように聞こえますが、正直なところ私自身、長い間このことを考えてきてこれ以上の解決策は思いついていません。
評判の良い企業が開発したアプリケーションもあれば、評判の悪い企業が開発したアプリもあります。Google、特にGoogle PlayストアやSamsung Galaxyストアなどについて言えば、そこはでたらめなアプリケーションだらけです。結局のところ、会社のWebサイトと相互参照して、そこから正規のアプリケーションをインストールしているかどうかを確認するしかないです。アプリストアのおかしなアプリケーションは無視するに限ります。
Ben: Kenが述べたことの繰り返しになりますが、必要のないアプリケーションをダウンロードしないようにしましょう。実際のところ、あなたのスマートフォンにどれだけの懐中電灯アプリが必要でしょうか?新しいアプリケーションをダウンロードするときのことを考えてみましょう。AndroidやiOSでダウンロードすると、いつでもポップアップボックスが山ほど表示されて、アクセス許可についての質問が出てきます。もしそのようなアプリケーションをダウンロードする場合は、立ち止まって考えてください、なぜこのアプリケーションはこのような許可が必要なのかと。懐中電灯が現在地を知る必要がありますか? NFCリーダーは、すべての連絡先にアクセスする必要がありますか?
なるほど。許可の話に進む前に、有名な例として、今、Epic GamesがAppleのApp Storeと闘っていることを指摘しておきたいと思います。今後も同様の係争が起こる可能性があります。つまり、企業が財務上の理由だけで、さまざまな公式のAndroidストアから撤退することを選択することになります。私はGoogle PlayやSamsungストアなどから外れることが常に悪いとは言えないと思いますが、私達はこれに対して明解な答えを出せるでしょうか?
Ben: 簡単明確な答えは、誰がアプリケーションを開発したのかを調べ、信頼できるものであることを確認することだと思います。
わかりました。
Ken: たとえば、私はmywebsite.attacker.netからFortniteをダウンロードするつもりはありません。でも、EpicのWebサイトのURLからダウンロードしようと思います。それがセキュリティ慣行というものでしょう。App Store以外で探す場合は、常に信頼できるサイトからダウンロードしていることを確認してください。App Storeからダウンロードする場合は、そのアプリケーションが評判の良い企業によって開発されていることを確認してください。
はい。しかし、たとえGoogle Playなどからダウンロードしている場合でも、マルウェアが含まれている可能性はありますね。Ben、あなたは今も昔もiOSのレーダーをすり抜けているのもがあると指摘していましたね。App Storeを完全に信頼することはできない、というのは正しいでしょうか?
Ken: 正しいです。残念ながら、それが私たちの住んでいる世界です。これもまた、私がいつも言っていることですが、スマートフォンにやたらなものをインストールしないでください。日常生活に最低限必要なものだけを入れておけばよいのです。
今、頭に思い浮かぶ好例は、水準器アプリです。面が平らなことを確かめるのに使用する器具であることはご存知ですね。スマートフォンがジャイロスコープを搭載したことで、アプリケーションで測定できるようになりました。今App Storeで検索すると、少なくとも5つの異なる水準器アプリが見つかります。どのアプリにマルウェアが入っているかはわかりません。そうなると、マルウェアが仕込まれている可能性のあるソフトをダウンロードするリスクをあえて冒したいと思うでしょうか?
実際のところ、週末にアプリケーションを逆コンパイルしてソースコードを調査し、HTTPトラフィックやその他のものを調べて、マルウェアの有無を確認する以外は、ホームセンタに行って水準器を購入するほうがましです。
(笑)なるほど。誰もがアプリケーションをリバースエンジニアできるわけではありませんからね。Ben、あなたは許可について話していたかと思います。それについて触れるべきでしょう。
Ben: そのとおりです。個人用デバイスにアプリケーションをダウンロードした後に、アプリケーションのセキュリティを調べるのは良い方法とは言えません。なぜなら、その時点ですでに悪意のある操作が行われている可能性があるからです。しかし、もしざっと見たところ、この開発者は少なくとも合法的な企業のように見えるならば、アプリケーションをダウンロードして最初にオープンしたときに何が起こるのかを見ても良いでしょう。連絡先などスマートフォンのすべての情報にアクセスする許可、電話をかける許可、ローカルストレージを読む許可などを求めてくるかもしれません。
一部のアプリケーションでは、正当にこれらの種類の許可を必要としていますが、その理由は常に明確でなければなりません。たとえば、Kenは水準器について話していました。これは、アプリケーションがスマートフォンのジャイロスコープにアクセスする必要がある正当な理由になります。しかし、モバイルゲームが現在地にアクセスしようとしている場合は、一端中止すべきです。ポケモンGOでしたら構いませんが、ただのブロック崩しのようなものであれば、なぜ位置情報が必要なのか、そしてそれに許可を与えるべきかを考えてください。
アプリが許可を求めていても遠慮なく断れば良いのです。通常、正規のアプリケーションは、ユーザーは許可を与えたくないと考えている事実を認識していますので、そもそも正当に許可を必要としているのであれば、それに限定された機能セットを使用して動作するはずです。
Ken: それは良い視点ですね。
Ben: 一方、悪意のあるアプリケーションの多くは、「申し訳ありませんが、位置情報が必要です。アプリが適切に動作するには、スマートフォンの位置情報をオンにする必要があります」といったメッセージが出るでしょう。この時点で、アプリケーションを削除して別のアプリケーションを検索してください。
なるほど、良い考えですね。アプリケーションが特定の事業者によって開発されていることがわかっている場合は、その事業者のWebサイトをチェックして、アプリケーションをダウンロードするリンクがどこにあるか探します。もし私がアプリケーションの開発者を知っているなら、私が使っているアプリストアが開発者の正しい名前を載せていることを確認します。次に、アプリケーションが要求している許可を確認します。しかし、それ以外にも、スマートフォン自体の話として、よいレベル、または必要最低限のレベルのサイバー衛生とはどのようなものでしょうか? またパスコードなどはどうでしょうか?
Ken: 自分が活用しているセキュリティ対策で、一般的なユーザでも許容できると思われるものをご紹介します。具体的には、15文字のパスワードと指紋認証で、操作しない状態がわずか15秒間続いただけでロックされますが、48時間ごとに15文字のパスワードを入力する必要があります。ご想像の通り、一般的なユーザはそれに耐えられないと思います。私が我慢できるのは、自分がセキュリティに偏執的な人間だからです。
普通の人には、顔認識か指紋認識かにかかわらず、生体認証を併用した8文字のパスワードをお勧めします。そして通常は1分程度のロックアウトタイマーが良いでしょう。現実的には、1分か2分間スマートフォンを使っていなければ、おそらく他のことをしているのでしょう。
なるほど。では、指紋や顔認証の長所と短所は何でしょうか?私は、悪人が私の顔になりすますようなことは、それほど心配していません。強盗に銃を突きつけられ、スマートフォンで顔のIDを取られたり、子供が寝ている親の指を使ってIDを取られたり、そんな状況を考えています。
Ben: とにかく、強盗があなたの頭に銃を突きつけているような事態は、もはやモバイルセキュリティの問題どころではありませんね。これは、生きていく上での一般的なヒントになります。誰かがあなたの頭に銃を突きつけた場合は、彼らが望むものを与えてください。命より価値のある物はありませんので。
しかし、一般的に言えば、生体認証の大きなメリットはその利便性にあります。ホームボタンを親指でタップしたり、スマートフォンを顔にかざすだけで済み、とても簡単です。しかも、適切に実装されていれば極めて安全です。この点も強調しておきます。また、AndroidもiOSもOSレベルで、スマートフォンのロックを解除するために、生体認証を安全な形で実装しています。
したがって、アプリケーションの観点からは、開発者がOSの意図する方法で生体認証を安全に実装している限り、非常に安全な認証方法になります。いくつかの例外的なシナリオを除いて、誰もあなたの親指を盗むことはできないからです。
生体認証のデメリットは、まず、顔や親指の指紋は変えることができないことです。たとえば、これは過去に実際に起こったことなのですが、誰かが特定のデバイスの生体認証センサーを騙して指紋や顔データを転送する方法を思いついたとします。そうなると、その生体情報を何度でも悪用できるため、被害者は永久に危険にさらされることになるのです。そうなると、再びパスワードに頼らざるを得なくなります。
パスワードのもう一つのメリットは、ユーザがセキュリティと利便性のトレードオフをどのように、どこで行うかを決めることができるということです。明らかに、64文字のランダムパスワードは本当に安全ですが、覚えておくことはできません。たとえば、英単語だけを次々につないで20文字から30文字の暗号フレーズを作れば、かなり覚えやすく、しかも相当安全になります。
そして、厳密にどちらかを決める必要もありません。たとえば、パスワードを使用してスマートフォンのロックを解除するなど、他の方法と組み合わせて使用することもできます。パスワードを入力してから、指紋または顔認証で一定期間ロックを解除することもできます。
私は、指を使ってスマートフォンにログオンしていますが、銀行アプリケーションなどでは異なる認証方法を使っています。これは、用心深い情報セキュリティでしょうか、それともただの被害妄想でしょうか?
Ben: それは実際にはかなり良い考えだと思います。私がアプリケーションのテストを何回行ったかはわからないのですが、パスワードログインで十分です。パスワードをサーバに送信し、サーバが記録されているものと照合してチェックすれば済みます。アプリケーションの観点からは、これを回避する方法はありません。
しかし、生体認証に目を向けると、一般的に生体認証が機能するには、アプリケーションが生体認証センサーに認証が成功したかを確認します。あるいは、アプリケーションが、デバイスのセキュアエンクレーブまたはセキュアデバイスストレージから、何らかの機密情報を引き出し、そのセキュアなストレージに依存して生体認証チェックを実行します。そして、最初の方法はセンサーに成功したかどうかを尋ねるだけで、簡単に回避することができます。
そして、多くの場合、開発者がそのようなことをすることはわかっています。なぜなら、生体認証を実装する方法を検索すると回避するやり方が出てくるからです。
Ken: Benが間違っていたら良いのですが、残念ながらこれは本当のことです。
Ben: 私が調査したアプリケーションのおよそ50から60%は、このようなやり方になっています。
それがStack Overflowのサイトに出てくるのですね。
Ben: はい。実際に自分でテストを行なうのが賢明な方法だと思います。そうしなければ開発者が安全に実装したかどうかを本当に知ることはできないからです。
Ken: ひとつ付け加えておきたいのは、銀行アプリケーションに自信を持ってパスワードを入力できるような状況であれば、使っているパスワードは、長くてユニークなものであって、そのアプリケーションでしか使わないようにしてほしいということです。これは銀行アプリケーションに限りません。理想的には、パスワードマネージャーの利用をお勧めします。
これが、今回私が強調したい重要なポイントです。私は誰かが銀行アプリケーションにパスワードを入力している話を聞くたびに、どんなパスワードなのか気になってしまいます。私が心配しているのは、銀行アプリケーションに毎回簡単にパスワードを入力できるようになっている場合は、他人がなりすまして、デスクトップや他のデバイスからログインできる可能性があるということです。
そうですね。実は、私がこの道を歩み始めたのは、銀行との確執が続いているからです。銀行は4桁の暗証番号を設定させようとしましたが、私はそれに反発しました。どうして、そのような制限をするのかと。銀行は、お客様が覚えて使うことができるのが4桁だからだと答えたのです。私は、冗談じゃないと反論しました。もっと覚えられるので桁数を増やしてほしいと要求したのです。
Ben: はい。本当のことを言えば、暗証番号は40年前のサーバに保存する必要があり、4桁以上を受け付けないシステムになっていたのです。
(笑)なるほど。それが本当の理由なら少しはましですね。他にも原因はありそうですが。では、ユーザが絶対にオンまたはオフにすべき設定はスマートフォン自体にありますか? デフォルトで設定されていて、絶対に切り替えたいものはありますか?
Ken:これは間違いなく心配性の人の話ですね。ここではAndroidに限定した話をします。私が今使っているのがAndroidデバイスなので。Google Pixel製品ラインのデバイスは、デフォルトでGoogleマップを使用してユーザの位置情報を追跡します。個人的にはその機能を使うのが好きです。将来、2019年の古き良き時代の自分の人生はこうだった、というように振り返りたいと思っています。しかし、スマートフォンが自分を追跡しているという考えや、GoogleアシスタントやSiriがCommandキーで起動されるのを待っているという考えを好まない人が大勢いることは知っています。結局のところ、プライバシーに関しては、生活の中で何を求めているかにかかっています。
セキュリティに関して、常々私は人々に4桁または6桁のパスワードを使用するのを止めるように進言しています。スマートフォンにはパスフレーズを使用し、起動時にパスワードの入力を求められることと、生体認証を使用していることを確認してください。指紋か顔認証にかかわらず生体認証を使用していること、さらにデバイスには最小限の生体認証キーがあることを確認します。つまり、ユーザだけの指紋です。緊急事態の場合には、ユーザの配偶者または誰か信頼のおける人物が解除できるようにするかは、やはりユーザ次第です。
それでは、企業としては、デバイスフリート管理についてどのようなことを考慮する必要がありますか?
Ken :これもまた、一部の人にとっては非常に物議を醸すことになる答えですが、とにかく、選択肢を与えないでください。これについて詳しく説明します。Benと私は、持ち込んだ自分のデバイスや会社が管理するデバイスを含め、さまざまなデバイス、さまざまな導入ソリューションのテストをしてきました。AndroidでもiOSでも、Blackberryでも、どのシナリオにも賛否両論がありました。
結局、私が見てきたところでは、モバイルデバイスソリューションの導入やOSにおいては、選択肢が多いほど、より多くの問題に直面することになるということです。会社としては、従業員に自社のデータを扱う2台目のiPhoneを持たせた方が運用は簡単です。従業員側は嫌とは言えません。1つの導入方法で1種類のデバイスフリートを管理する方が簡単になります。デバイスに発生することを想定できるからです。
一方、従業員がAndroidやiOSなどの管理対象デバイス以外で、自分が所有しているデバイスを持ち込む場合は、Samsung、Pixel、Nokiaなどのデバイスが考えられます。企業がテストする必要があるデバイスの種類は年々増加していきます。導入の可否を判断しなければなりません。
これが企業側から見ての話になります。従業員としては、2台のデバイスを持ち歩きたくないと言う人が出てくるのは当然です。2台のデバイスを持ち歩くように言われて、そのデバイスの個人用メールアカウントの全てのメールを1台目に転送している人を知っています。
必ず逆らう動きが出てきます。それに対処する最も良い方法は、純粋にセキュリティの観点からの理想形として話をすることです。人の気持ちが入り込まない理想形です。しかし、現実を直視すると人の気持ちも大切にせざるを得ないでしょう。
Ben: はい。企業レベルでのセキュリティは、常にテクノロジーと社内での駆け引きが入り混じります。そこには常にトレードオフが存在します。私は、従業員に与える選択肢はできるだけ少ない方が良いというKenの意見に賛同します。なぜなら、実際に攻撃対象となるのは、提供するすべての選択肢に含まれる脆弱性の合計であり、それらが交差する点ではないからです。
したがって、会社から貸与されたiOSやAndroid、さらにBlackBerryを含めたデバイスに加え、自分のデバイスを持ち込んでいる場合は、企業データが入っているデバイスを攻撃する方法が増えるため、より多くの潜在的な問題に直面することになります。
Kenのユーザー例では、2台目のデバイスを設定して、すべてのメールを1台目に転送するようにしています。理想的には、それが不可能になるようにメールソリューションを設定することです。
私はKenに概ね賛成だと言いたいのですが、現実的には、常にその程度の抵抗があるでしょうし、理想の姿にどれだけ近づくことができるかどうかは、社内の力関係や政治的駆け引きに大きく左右されるでしょう。
はい、よくわかりました。ここまで、自分デバイスのセキュリティを確保する方法や、ユーザパスフレーズの使い方などの話をしてきました。管理されたデバイスフリートをより安全にするために、企業が為すべきことはありますか? 分別のあるユーザだけではないという前提での話ですが。
Ken: デバイスや企業データに対する最大の脅威は、不正なアプリケーション、テストされていないアプリケーション、またはマルウェアの可能性があるアプリケーションです。企業が為すべきことで最も重要な例は、デバイスにインストールされるアプリケーションの種類を制限し、ユーザがデバイスに設定できるオプションの種類を制限し、ユーザがパスコードオプションをスキップできないようにすることです。ユーザがパスワードに設定する文字数を決め、頻繁に変更しなければならないようにすることです。私個人としては、このような規則は好きではありませんが、いくつかの会社がそうしていることは知っています。
わかりました。ところで、スマートフォンにはマイクが付いているので、いわば盗聴器にもなるわけです。そのうち会議室にスマートフォンが持ち込み禁止になる時代が来ますか?
Ken: あなたは陰謀を信じるほうですか?
Ben: はい、信じます。現実的な脅威というよりは、映画で良く観る光景のような気もしますが。重要な会議の場合は、会議のメモを取るでしょう。そしてメモはどこかに保存されることになります。攻撃者の観点からすると、誰かのスマートフォンのアクセス権を持っていれば、おそらく他のチャネルを介してそのデータを搾取できると思います。
そうですね。したがって現実の脅威モデルに、外国の情報機関のようなものが含まれていない限り、それほど心配する必要はないかもしれません。
Ben: そのとおりだと思います。
Ken: はい。
Facebookが私の会話を盗聴している件についてはどう考えますか?
Ken: これは私の個人的な見解ですが、陰謀のにおいがすると言わざるを得ません。私はスマートフォンからFacebookをアンインストールしましたが、それは純粋に消費電力などの問題のためでした。盗聴の可能性を回避したかったからではありません。
しかし、誰かがスマートフォンを横に置いて何かの商品について話し合っている時に、突然Facebookがその商品を推奨してきたという話は聞いたことがあります。Facebookがどのように盗聴しているかについての「記事」を見かけたことがありますが、実際に物証となるデータは見たことがありません。はっきりした答えが出せると良いのですが。それが現状です。陰謀が有るかもしれません。
Ben: はい。私の見方もKenと同じように、Facebookが人々の話を盗聴していることを示す具体的なデータは見たことがありません。「ブランドXの話をしていたら、突然FacebookがブランドXの広告を出してきた。」という逸話は私も聞いたことがあります。
Facebookのような注目度の高いアプリケーションや、盗聴について多くの噂が流れているアプリケーションでは、もしそれが真実ならば、どこかのセキュリティ研究者がその事実を証明して有名になっていてもおかしくないと思います。なぜなら、これはデバイス上のアプリケーションであり、ユーザーが制御するデバイスであり、十分な時間と労力があれば、そのデバイス上で実行されているすべてのものはリバースエンジニアリングできるからです。
私が見聞きした範囲からすると、「おっと、Facebookが盗聴している」という感覚は、Facebookの機械学習機能がいかに優れているか、またユーザーのブラウジング習慣を追跡することに長けていることを示す証に過ぎません。例えば、私はオーディオ機器に凝っていて、常にさまざまなオーディオ機器について調べています。ある時、友人からヘッドホンアンプのおすすめは何かと聞かれました。彼にいくつかの候補製品を教えました。その後彼から、Facebookが同じ製品を勧めてきたと言われました。
1つの可能性として、Facebookが私たちの話を盗聴していたかもしれません。しかし、もう一つの可能性としては、Facebookが友人のスマートフォンの位置情報を利用して、友人がかなりの頻度で私の家に来ていることを確認しているということです。したがって、友人は個人的に私と相関関係があり、同じ興味を持っている可能性が導き出されます。どちらの可能性が本当なのかはわかりません。
しかし、私が言ったように、もしFacebookが本当に盗聴しているなら、これだけメディアで騒がれていることを考えると、これまでに誰かがそれを証明していただろうと思います。とはいえ、プライバシー全体が気になるのであれば、そもそもFacebookアカウントを持つべきではないでしょう。
はい。マーケティングアルゴリズムがどれほど強力なものかということを、人々は理解していないと思いますね。次の話に移りましょう。(笑)お二人のモバイルセキュリティの仕事に戻りますが、人々のアプリケーションを調査していて発見した興味深い脆弱性はありますか?
Ken: 私は今、Samsung S20デバイスを調査していますのでその話をしましょう。私がここで、この脆弱性について話すことができる唯一の理由は、Samsungが2週間前に修正パッチを発行したからです。
ある時点で攻撃者が自分と同じネットワーク上にいて、自分が悪意のあるリンクをクリックしてしまうと、Galaxyストアに望みのアプリケーションを強制的にダウンロードさせて、インストールすることができるという問題がありました。そこで私は、Drozerと呼ばれるテストアプリケーションを使いました。これはデバイス上で「シミュレートされた悪意のあるアプリケーション」として機能します。私はそれをSamsung Galaxyアプリストアに公開することができました。
この場合の攻撃シナリオは、私が攻撃者で、ユーザは私のWi-Fiネットワークに接続しています。ユーザが私のリンクをクリックすると、私の悪意のあるアプリケーションが自動的にユーザのスマートフォンにインストールされます。そこから、技術的にはデバイス自体のリモートコード実行機能の話になりますが、これはアプリケーションのサンドボックス化や機密データの窃盗など、全く新たな展開になっていきます。
しかし、先ほど述べたように、Samsungはこのポッドキャストが録音された2週間前にパッチを当てました。このポッドキャストが公開される頃には、外部の研究所のサイトで何が問題だったのか議論しているはずです。
では、リスナーからの質問をいくつかご紹介します。「時々、自分のスマートフォンがこのグループやあのグループにハッキングされた、という話を聞くことがあります。お二方は、実際にスマートフォンが物理的にハッキングされているのをよく目にしているのか、それともユーザが探すべきはっきりとした兆候のようなものがあるのでしょうか?
Ken: 最大の兆候は、バッテリーの使用量が増えることです。デバイスのバッテリーが以前よりも早く切れるようになった場合は、おそらく何かがバックグラウンドで実行されている可能性が有ります。
あるいは、ものすごく厳しい環境にさらしてバッテリーを傷めたのかもしれませんが。
Ken: 私は「スマートフォンがハッキングされた」という言い方は好きになれません。なぜなら、それはとても多くのことを意味しているからです。最初に尋ねたいことは、どのようにして、なぜハッキングされたと思うのか?ということです。以前とは違った動作をしたのでしょうか?
Ben: Androidデバイスでハッキングを心配している場合、力ずくで問題を解決する簡単な方法は、ストックファームウェアをフラッシュすることです。また、iOSデバイスであれば、MacデバイスのiTunesやFinder経由で復元します。このようにすれば、誰かがゼロデイエクスプロイトを使用していない限り、あるいはスマートフォンにルートキットをインストールしていない限り、デバイスを最初に出荷されたときの状態にリセットするだけで、安全な状態になるでしょう。
はい、わかりました。パスワードやこれまでの使い方も変更できますね。
Ben: そうです。スマートフォンが侵害されたり、アカウントが乗っ取られたと感じた時には、通常のセキュリティ対策はすべて実行すべきです。
Ken: 最新のデバイスのメリットの1つは、OSが侵害されたかどうかを自動的に自己検証したり、このOSが100%の状態にあることを自己検証したりできることです。そして、知らないうちにデバイスにインストールされたアプリケーションがある場合、デフォルトのシナリオでは、ブートローダーに何もされていないか、デバイス自体をブートする方法に何もされていない場合、工場出荷時にリセットすれば、ストーカーウェアなど悪意のあるものはすべて確実に取り除かれます。なぜなら、最終的にブートローダーやデバイスに関連するブートが改ざんされていない限り、オペレーティングシステム自体も完璧で安全な状態であることが保証されるからです。
すばらしいです。これで時間になりました。今日はご参加いただき感謝します。ありがとうございました。
Ben: 参加できてうれしかったです。
Ken: 招待いただき感謝します。ありがとうございました。
カテゴリ