ソーシャルIDが狙われている!セキュリティ上の脅威とその対策

IT・IT製品TOP > Key Conductors > 小坂 嘉誉(CA Technologies ) > ソーシャルIDが狙われている!セキュリティ上の脅威とその対策
この記事をtweetする このエントリーをはてなブックマークに追加

IT現場の道先案内人 Key Conductors

ソーシャルIDが狙われている!セキュリティ上の脅威とその対策

エンドポイントセキュリティ 2013/05/14

前回は、ソーシャルネットワークやソーシャルIDの企業利用のメリットについて解説したが、今回からはメリットの裏側に潜むセキュリティ上の脅威とその対策について考察したいと思う。

アプリが危ない!スマートデバイスからの不正アクセス

通常SNSを利用する際のデバイスとしてはPCも考えられるが、多くのユーザはスマートフォンやタブレットなどのスマートデバイスを利用している。スマートデバイスは以前の携帯電話(一般的にはフィーチャーフォンであったり、ガラパゴス・ケータイ=通称ガラケーなどとしてスマートデバイスとは区別される)と比べると格段に高機能化しており、小さなPCと言っても差し支えないレベルとなっている。

PCである以上、ブラウザでの閲覧やプリインストールされている機能の利用のみならず、自身で必要なアプリケーションをインストールし、カスタマイズすることも可能である。しかも、アプリケーションはAppStoreやGoogle Play Store、Windowsストアと呼ばれる入り口から、ダウンロード可能になっており、非常に簡単に自身の志向に合った環境を作り出せるようになっている。

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

一方、Android OSはOS自体が公開され、開発者が自由にアプリ開発をし、さらには自作のアプリを配布することも可能になるなど、開発者には魅力的な環境であるため、多くのアプリケーションが登録されている。ただし、配布に当たってのチェック機能もかなりゆるく、ウイルスであるか否かのチェック程度で、あきらかにウイルスと認定されるものでなければ検知できない。そのため多くの不正なアプリケーションがGoogle Play上に存在していると言われている。

ここで気を付けたいのは、この簡単にダウンロードできてしまうアプリケーションの問題である。特に、アップルのiOSとシェアを分けているGoogleのAndroidアプリケーションには、細心の注意を払う必要がある。AppSotreやWindowsストアの場合には配布されるアプリケーションへのチェックが厳しく、アプリケーションには直接関係のない不必要な情報、たとえば「ゲーム」アプリケーションであるのに「メールアドレス」や、「住所」「パスワード」など個人情報に絡むような情報を要求するようなものの場合には、審査ではじかれAppStoreなどには公開できない。  

では、どのような不正アプリが多いのだろうか?

■【ユースケース4】個人情報を搾取する大人気アプリ

不正アプリの多くは、個人情報搾取型である。スマートデバイスがPCと大きく違う点はスマートフォンの場合、電話機能を持っていることである。デバイス内には、自身の個人情報以外に、アドレス帳に家族や友人などの多数の個人情報が含まれているため、これらを狙った不正アプリケーションが出回っている。  

ここで、2013年3月にIPA(情報処理推進機構)より注意勧告が出された不正アプリケーションについてみてみよう。 (出典:https://www.ipa.go.jp/security/txt/2013/03outline.html)  

IPAではGoogle Playより「ポルノセクシーなモデルの壁紙」と言われる、不正アプリケーションを入手し解析結果を報告している。なんと、このアプリケーションは50万回もダウンロードされ、さらに評価が5.0満点中4.4、レビュー数が7,830と比較的良い評価であったため、ユーザが安心してダウンロードしたと思われる。  

ただし、このアプリケーションは壁紙であるにも関わらず、位置情報や端末情報の読み取り、Googleアカウント用のメールアドレス情報など、不要な情報開示を求めている。それに気づかずインストールを行うと、この壁紙アプリケーションを起動すると同時に端末識別番号、Googleメールアドレス、位置情報が外部サーバに送信されてしまう。

■【対策】ウイルスソフトは基本、不必要な情報を要求するアプリはNo!

Android OSに関しては、すでに多くのベンダよりアンチウイルス/アンチマルウェアソフトが提供されているので、こちらを導入することは基本となる。その他、上記のアプリケーションのように評価が良いからと言って、それを鵜呑みにし、ダウンロードするのは危険であることがわかる。また、アプリケーションをインストールする際には、「どの情報に対する許可を求めてきているか」をしっかりと確認し、用途に合わない情報取得の許可を求めてくるようなアプリケーションはインストールしないという考えを徹底することも、自らを守るという意味で必要である。

会員限定で「読者からのコメント」が読み書きできます! 「読者からのコメント」は会員限定の機能。会員登録を行い、ログインすると読者からのコメントが読み書きできるようになります。

会員登録(無料)・ログイン

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この寄稿記事に掲載している情報は、掲載日時点での情報となります。内容は変更となる場合がございますのでご了承下さい。また、「Key Conductors」の寄稿記事及び当該記事に寄せられたコメントについては、執筆者及びコメント投稿者の責任のもと掲載されているものであり、当社が、内容の最新性、真実性、合法性、安全性、適切性、有用性等を保証するものではありません。


30006166


IT・IT製品TOP > Key Conductors > 小坂 嘉誉(CA Technologies ) > ソーシャルIDが狙われている!セキュリティ上の脅威とその対策

このページの先頭へ

キーマンズネットとは
ソリューション技術本部 プロダクトソリューション部 マネージャ。1997年CA Technologies入社。2004年よりアイデンティティ/アクセス管理製品担当。シングルサインオン、ID管理、フェデレーション、2要素認証などのIAM領域の提案活動に従事。CISSP。

ページトップへ