第622号コラム: 名和 利男 理事(株式会社サイバーディフェンス研究所 専務理事/上級分析官)
題:「Wi-Fi接続時におけるモバイルアプリのリスク」
現在に至るまで、(内部犯行を含む)サイバー犯罪やサイバー攻撃により一定規模の被害を受けてきたコンピュータの多くは「PCとサーバー」であった。そのため、技術的原因や法的責任の追求に用いられるデジタル・フォレンジックの技術やツールには、「PCやサーバー」に特化したものが豊富に存在している。デジタル・フォレンジック研究会から公開されている「証拠保全ガイドライン」もそれに強く影響を受けているが、IT利活用やサイバー脅威の動向変化に追随しながら、適合した知見・ノウハウを提供するべく、関係者の努力による改訂を積み重ねているところである。
しかしながら、社会生活や経済活動において重要な役割を与えられつつある「スマートフォン」に目を向けると、そのサイバー脅威に対して、私たちは十分に追随・適合できているとは言い難いところがある。筆者の本業であるサイバー犯罪やサイバー攻撃に対するモニター活動や深堀調査から得られている状況認識では、スマートフォンをターゲットにしたサイバー攻撃のための知識体系や(スクリプトを含む)ツールの構築が急ピッチで進んでいる。
数年前に大きな話題になった暗号資産の不正マイニングについて思い起こしてみる。攻撃者は当初、セキュリティの手薄なPCやサーバーをターゲットにすることが多く、バラエティに富んだ手法を構築したが、そのうちに、私たちが気づいて警戒を始め、対策を施すようになるにつれて、彼らは、ターゲットの範囲を「スマートフォン」に広げ、巧妙に細工した不正アプリを堂々とアプリストアに公開した上で、レビューやSNSで評判を意図的に高める書き込みをするといったソーシャルエンジニアリングを併用し、ユーザーを騙す形でインストール(感染)を広げた。一部では、Wi-Fi接続する「ノートPCやスマートフォン」に中間者攻撃を仕掛ける手法を確立し、感染効率を劇的に高めた。
(例: https://github.com/arnaucube/coffeeMiner)
最近では、仮想化技術を用いたサーバでの利用が拡大している「コンテナ」をターゲットにする手法が出現している。
(例: https://github.com/alexellis/mine-with-docker )
この暗号資産の不正マイニングは、コンピューターのリソース(計算資源、CPU)の搾取する行為であるため、「スマートフォン」や「コンテナ」の内部データを窃取しようとするものではないことに着目していただきたい。
ところが、「スマートフォン」について、最近、日本は国民全体に対して利活用を促進させる(ような)施策や取り組みが急ピッチで進展している。報道で目立っているだけでも、次を挙げることができる。
- キャッシュレス・消費者還元事業(2019年10月~2020年6月、経済産業省)
- 新型コロナウイルス接触確認アプリ(2020年6月~、厚生労働省&内閣官房)
- マイナポイント事業(2020年7月~、総務省)
この他にも、私たちの社会生活や経済活動のさまざまなシーンで、スマートフォンの利用が求められることが多くなってきている。
一方、これを下支えあるいは底上げするような、公衆無線LAN(Wi-Fi)や5Gの整備を推進のための施策が強化されており、ますますスマートフォンの利便性や快適性が向上していくと考えられる。
- 公衆無線LAN環境整備支援事業(2017年12月~、総務省)
- 5G投資促進税制(2020年6月~、総務省)
これらの施策等は、日本における「Society 5.0」成長戦略に対する強い意志を反映したものであり、最近、加速化している。そのため、今後より一層、「スマートフォン」の利用拡大が進むと同時に、文化的な社会生活の基盤になる可能性すらあると言える。
このような変化の中で、「スマートフォン」にインストールされたアプリ(以下、モバイルアプリ)内に、攻撃者にとって高い価値のある情報が保存および流通されるようになってきた。
以前の「PCやサーバー」に対するサイバー脅威動向の観察・分析から、私たちは「攻撃者は狙いを定めたターゲット(高い価値のある情報までの経路やプロセスを含む)に対する攻撃活動を持続的に行い、さまざまな試行錯誤を繰り返しながら、攻撃目的を達成するまで決して諦めることをしない」などの教訓を得ている。したがって、モバイルアプリに対するサイバー脅威が否応なしに(承知も不承知もなく)高まっていくことは明白である。
昨年から、「モバイルアプリ」に対する脅威が現実になりつつある事象が多数報告されている。すべてを本コラムで紹介することはできないが、日本で十分に情報共有されていないものとして、次のような「モバイルアプリ」に対するサイバー脅威になり得る脆弱性の一部を紹介する。
- Remotely compromise devices by using bugs in Marvell Avastar Wi-Fi:from zero knowledge to zero-click RCE(2019年1月)
◦ MarvellのWi-Fiチップセットにおける、Wi-Fiをオンにしているだけで攻撃を受ける脆弱性 - QualPwn – Exploiting Qualcomm WLAN and Modem Over The Air(2019年8月)
◦ Snapdragonチップセットにおける、Wi-Fi経由でスマートフォンを乗っ取り可能な脆弱性 - An overflow on the linux rtlwifi driver on P2P (Wi-Fi-Direct) (2019年10月)
◦ Realtek Wi-Fiチップ用のLinuxドライバーソフトウェアにおける、Androidスマートフォンをクラッシュまたは侵害される脆弱性
- kr00k(2020年2月)
◦ BroadcomとCypress製のWi-Fiチップに存在するバグに起因する、スマートフォン(iPhoneやGalaxy等)のWi-Fi通信が傍受される脆弱性
このような脆弱性の多くは、2020年3月の Android の月例セキュリティ情報の中で、これらを修正するセキュリティパッチが配信されるとしている。
- Android のセキュリティに関する公開情報-2020年3月
◦ 紹介した脆弱性の全てが私たちのAndroidに影響を与えるわけではないが、気になる方は、お手持ちのAndroidの「セキュリティパッチレベル」を確認していただきたい。ちなみに、一部の国や地域の通信キャリアや端末メーカーは、このようなパッチを積極的に配信しないところがあるようである。
その他、次のような脅威の可能性も報告されている。
- New RCS technology exposes most mobile users to hacking
◦ 悪意のあるWi-FiやVPNを介したDNSスプーフィングによる比較的単純な中間者攻撃によりRCSのテキスト/通話の傍受や改ざん、発信者IDのなりすましなど、RCSハイジャッキングを可能とするセキュリティ上の懸念
◦ 「狙われるRCS ― 次世代メッセージサービスが運び込んだ、新しくも古い脆弱性」で簡潔に説明している。
読者のみなさんは、もう気づかれていると思うが、筆者が本コラムで強くお伝えしたいことは、Wi-Fi接続時における「モバイルアプリ」のリスクが急激に高まっていることである。
筆者は、私たちのWi-Fi接続時における「モバイルアプリ」について、「ゴジラが十数キロ先から向かってきており、十数分程度で都市を破壊することが確実な状況」にあると思えてならない。これが杞憂であればよいのだが、日々の攻撃活動のモニター活動や深堀調査を重ねるたびに、確信に近い感覚に襲われることがあるがゆえ、本コラムを書かせて頂いた次第である。
【著作権は、名和氏に属します】