大学のセキュリティ研究者らが、Android 携帯電話上で実行され、クレジットカードの詳細を盗む巧妙なマルウェアを作成した。
いつものように、多くの人がこれをスマートフォンのセキュリティ崩壊の兆候だと騒いでいますが、冷静になる必要があります。サイバー犯罪者はそれほど賢くなく、心配するような新しいことは何もありません。
いわゆるSoundminerマルウェアは、電話の会話を盗聴し、音声認識機能を使って、例えば銀行に電話をかける際にユーザーが伝える可能性のあるクレジットカード情報やPIN情報を解読します。キーが押された際に聞こえるDTMFトーンも認識・解読されます。
その後、データは Deliverer と呼ばれる別のマルウェアに渡され、インターネット経由でハッカーの本部に送信されます。
巧妙なのは、この 2 つのマルウェアが Android に組み込まれたセキュリティをいかにして回避するかという点です。
特定のハードウェア コンポーネントにアクセスする新しくインストールされたアプリごとに、ユーザーからの個別の許可が必要です。
マイクへのアクセスとデータの送信の両方の許可を求めるプログラムはやや疑わしいため、Soundminerはマイクの使用のみを要求します。一方、Delivererマルウェアはデータの送信のみを要求します。
2つのプログラム間のデータ交換も疑わしいとみなされるため、Androidに組み込まれたシステム設定情報を共有するためのシステム通信チャネルを使用します。このチャネルで転送できるのはわずか数バイトですが、クレジットカード番号を盗むには十分です。
Soundminerは、例えば、ユーザーの叫び声の大きさに応じて画面上の風船を膨らませるためにマイクへのアクセス権限を要求するようなシンプルなアプリに潜入する可能性があります。Delivererは、例えばハイスコアを報告するためにデータ送信の許可を要求するようなシンプルなゲームに簡単に組み込むことができます。
全体として、Soundminer はよく考え抜かれた独創的なプログラミングです。
だからこそ、現実世界ではこのようなものを見ることは決してないのです。
犯罪者は常に手っ取り早く、そして汚いやり方を好む。それが彼らの特徴の一つだ。
銀行強盗には二つの方法があります。銀行で働き、こっそりと横領する方法と、銃を振りかざして銀行に駆け込み、金の入った袋を持ってできるだけ早く逃げ出す方法です。
どちらがより人気があると思いますか?
洗練された手腕、繊細さ、そして天才的な知性は、映画の犯罪者に限られます。現実世界で最も成功する犯罪者は、物事をシンプルに保つ者であり、サイバー犯罪も例外ではありません。
サイバー犯罪者を過小評価すべきだと言っているわけではありませんが、Soundminerほど巧妙なものが作られる可能性は極めて低いでしょう。Soundminerの開発には、香港城市大学とインディアナ大学の研究者チームが協力しました。
結局のところ、騙されやすいユーザーを騙して金を巻き上げる偽の電子メールを送るだけで済むのに、なぜサイバー犯罪者は Soundminer のような手の込んだものにこだわるのでしょうか?
優れたマルウェアは、巧妙であったり、巧妙に作られていたりする必要はない。人々を騙して有用な個人情報を盗み出す方法さえあれば良いのだ。そして、これは歴史が証明しているように、実は非常に容易だ。また、デバイスからデバイスへと移動する方法も必要だが、重要なのは、Soundminerの調査には、その仕組みを示唆する新たな知見が何もないことだ。
Soundminer は Android のいくつかの設計上の欠陥を指摘しましたが、これらの欠陥はすぐに解決されることを期待しますが、他に懸念すべき点はまったくありません。
セキュリティ企業は2011年をスマートフォンマルウェアが主流になる年だと大々的に宣伝していますが、私たちはそのような発言には警戒すべきです。恐怖心が強ければ強いほど、マルウェア対策製品を購入する可能性が高くなります。何かを売りつけようとする人の言葉は信用できません。
セキュリティ企業は大量のウイルス対策定義を引用したがりますが、その多くは実際には効果のない脅威である可能性が高いことを念頭に置く必要があります。中には、あまりにも粗悪な作りで全く機能しないものもあれば、かつては脅威であったものがファームウェアのアップグレードによって適用されなくなったものもあります。ほとんどの定義は、お使いの携帯電話のメーカーやモデルにも影響を与えません。
例えば、デスクトップ向けウイルス対策製品は通常、数百万ものウイルスからコンピュータを保護すると主張していますが、その多くは1980年代以降、コンピュータに影響を与えていません。それにもかかわらず、マルウェア対策企業は、満足のいくほどの不安を煽るために、いまだにウイルスの数を数えることを好むのです。
コンピュータセキュリティは巨大な産業であり、多くの人々や組織にとって、私たちに恐怖心を抱かせることが利益となるのです。長期的に見て、マルウェアから最も多くの利益を得るのはセキュリティ企業です。携帯電話のセキュリティに関する恐怖報道を無視すべきではありませんが、皮肉な目で見るべきです。
Keir Thomasは前世紀からコンピューティングに関する執筆活動を続けており、近年ではベストセラー書籍を数冊執筆しています。彼について詳しくはhttp://keirthomas.comをご覧ください。Twitterのフィードは@keirthomasです。
