Comments
Description
Transcript
381KB
スマートフォンセキュリティ 2011年10月5日 NSF in Kansai ラックホールディングス株式会社 ラックホ ルディングス株式会社 山城 重成 株式会社カスペルスキー 前 典彦 前田 1 Copyright ©2011 Little eArth Corporation Co.,Ltd 目次 スマートフォンのプラットフォーム ス トフ ンのプラ トフ ム スマートフォンマルウェアの実例 アプリケーションの信頼性 不正アプリによる遠隔操作デモ 対策・まとめ 2 Copyright ©2011 Little eArth Corporation Co.,Ltd スマートフォンプラットフォーム AndroidiOS A d idiOS iOS WindowsPhone(旧Windows Mobile) BlackBerry Symbian 他 Palm, Palm Brew.... Brew 3 Copyright ©2011 Little eArth Corporation Co.,Ltd それぞれの特徴 Android メーカ 脆弱性対応 インストール方法 インスト ル方法 アプリ審査 審 4 iOS Windows Phone 複数 Apple社 複数 メーカに依存 メ カに依存 Appleが対応 端末・OSメーカ 端末 OSメ カ Android Market On The Air キャリアマーケット AppStore MarketPlace なし し あり あり Copyright ©2011 Little eArth Corporation Co.,Ltd スマートフォンセキュリティモデル BlackBerryモデル Bl kB モデル • 通信、アプリケーションともにOSメーカーの一元管理をするこ とでセキュリティを担保 iOS Windows Phoneモデル iOS・Windows • OSメーカーのアプリケーション審査によるセキュリティを担保 Androidモデル • PCと同様に、ユーザにてセキュリティ対策を行う PCと同様に ザにてセキ リテ 対策を行う 5 Copyright ©2011 Little eArth Corporation Co.,Ltd iOS JailBreak iOSのアプリケ シ ンはア プル社の「電子署名 が必須 iOSのアプリケーションはアップル社の「電子署名」が必須 JailBreakはこの制限を外すことを指す J ilB kはこの制限を外すことを指す をす と JailBreakをすると.... • アップル社が認可してない(しない)アプリケーションをインスト ール ル • 海賊版アプリケーションの動作 • ホーム画面やロック画面をはじめ、UIそのものをカスタマイズ ホ ム画面やロ ク画面をはじめ UIそのものをカスタ イズ • などなど 当然、故障時はメーカサポートが一切受けられなくなる 6 Copyright ©2011 Little eArth Corporation Co.,Ltd Android rooted root化すると... t化すると • テザリングの利用 • フォントやUIのカスタマイズ フ ントやUIのカスタ イズ • CPUのクロック操作 • などなど フォレンジック目的 • メモリダンプ • /data 領域の参照 7 Copyright ©2011 Little eArth Corporation Co.,Ltd Jailbreak, root化による影響 マルウェア感染の場合、システム権限で動作し最悪の場合復旧 マルウ ア感染の場合 システム権限で動作し最悪の場合復旧 不可 • ウイルス対策ソフトによる駆除も困難 • キャリアによる交換・修理対応となる IMEI等の端末固有情報やOAuth認証情報等が変更が可能 • アプリ開発者はID偽装を考慮しなければならない 8 Copyright ©2011 Little eArth Corporation Co.,Ltd (参考情報)Android端末における「識別番号」の種類 端末固有情報(IMEI:International 端末固有情報(IMEI I t ti lM Mobile bil E Equipment i t Id Identity) tit ) • 端末そのものの識別番号 • 端末内のバッテリを外すと書いてあることが多い 端末内のバ テリを外すと書いてあることが多い 加入者識別番号( S S 加入者識別番号(IMSI:International Mobile Subscriber Identity) • SIMカード内に格納されている識別番号 SIMカ ド内に格納されている識別番号 Android A d id ID • /data/data/com.google.android.googleapps/databases/ accounts db に格納された識別番号 accounts.db 9 Copyright ©2011 Little eArth Corporation Co.,Ltd スマ トフォンマルウェアの実例 スマートフォンマルウェアの実例 10 Copyright ©2011 Little eArth Corporation Co.,Ltd Androidアプリケーションの信頼性 11 Copyright ©2011 Little eArth Corporation Co.,Ltd パーミッション アプリケーション毎に使える機能を制限する アプリケ シ ン毎に使える機能を制限する • アプリケーションをインストールする際に表示される 画面端末内データへのアクセス 画面端末内デ タ のアクセス インターネットへ通信 設定 変更 設定の変更 電話の発信 • (例)名刺リーダアプリ 名刺画像取り込み→「カメラの利用」 アドレス帳へ登録→「連絡先データへの書込」 12 Copyright ©2011 Little eArth Corporation Co.,Ltd パーミッション確認画面 13 Copyright ©2011 Little eArth Corporation Co.,Ltd Android Market アプリケーションの審査は基本的には「無い」 アプリケ シ ンの審査は基本的には「無い • 開発者登録の際にクレジットカードカード番号を求めている 開発者は好きなとき、好きなようにアプリケーションを公開できる 中に 「 なも も • 中には「HelloWorld」なものも... DroidDream(Rootcager)が組み込まれていたアプリは50種類 以上、アプリによっては20万件以上がダウンロードされた( http://goo gl/Kd3UV/) http://goo.gl/Kd3UV/) 14 Copyright ©2011 Little eArth Corporation Co.,Ltd 不正アプリによる スマートフォン遠隔操作デモ 15 Copyright ©2011 Little eArth Corporation Co.,Ltd デモ概要 ① URLを含む メ ルを受信 メールを受信 攻撃者が用意した Webサーバ ② アクセス ③ ボットアプリをインストール ④ 遠隔操作 16 Copyright ©2011 Little eArth Corporation Co.,Ltd 対策 まとめ 対策・まとめ 17 Copyright ©2011 Little eArth Corporation Co.,Ltd 対策 キャリア編 リモ トロ クサ ビス リモートロックサービス キャリアマーケット キ リア ケ ト • au one market→KDDI研究所によるセキュリティチェック メールスキャン • docomo→spモードのメールにウイルススキャン ウイルス対策ソフトの提供 • au→TrendMicro社製品をオプション提供 • docomo→McAfee社製品を無償提供 • SoftBank→McAfee社製品をオプション提供 18 Copyright ©2011 Little eArth Corporation Co.,Ltd 対策 個人編 ウイルス対策ソフトのインスト ル ウイルス対策ソフトのインストール インストール予定のアプリケーションのレビューを確認し、信頼で インスト ル予定のアプリケ シ ンのレビ を確認し 信頼で きるか判断 キャリアマーケットの利用 インストール時に表示されるアクセス許可の一覧を確認 USBデバッグの無効化 19 Copyright ©2011 Little eArth Corporation Co.,Ltd まとめ 今のスマートフォンセキュリティは課題が多く、Androidに至っては 今のスマ トフ ンセキ リテ は課題が多く A d idに至 ては 利用者自身によるセキュリティ対策が必須 とはいえ、難しいことをする必要もなく 端末内のアプリケ ションやOSそのもののバ ジョンアップを • 端末内のアプリケーションやOSそのもののバージョンアップを 欠かさず行う • ウイルス対策ソフトをインストールする • アプリケーションは正規の手段、正規のものをインストールする • 興味本位でJailBreak、rootedを行わない 興味本位でJailBreak rootedを行わない 万が に備え クラウドサ ビスを活用する 万が一に備え、クラウドサービスを活用する 企業ではMDM(Mobile Device Management)を活用する 20 Copyright ©2011 Little eArth Corporation Co.,Ltd