Android セキュリティ 技術者が考えてみた

Androidにウィルス対策ソフトは不要?技術者の立場から考えてみる。

スマホ画像

スマホは個人情報の塊なので、セキュリティについて気になる方も多いかもしれません。

本記事ではAndroid技術者の立場から、Androidにまつわるセキュリティについて考察していきます。

読者の想定として、一般のAndroidユーザーを対象としますので高度に技術的なものは扱いません。

なるべくわかりやすく解説していきます。

結論を先に言うと、十分にITの知識がある人ならAndroid端末でのウィルス対策アプリは必須ではないと個人的には思っています。

逆に、ITにあまり詳しくない場合はセキュリティ上危険な操作をしてしまう恐れがあるため、対策アプリを導入した方が安心なこともあります。

スマホの扱いに自信がない方には、以下の対策アプリをオススメしています。

スマホの使い方次第ですが、いずれか一つあれば十分かなと思います。

対策アプリの選び方については記事の最後に解説を説明しています。

また、そもそも対策アプリが必要かどうかの判断目安もご紹介していますので、参考にしていただければと思います。

それでは、順を追って説明していきます。

前提知識:そもそもウィルスってなんぞ

セキュリティ対策を語るうえで、悪さをするアプリのことをわかりやすくウィルスと
いうことが多いですが、正確には「マルウェア」といいます。
そして、実はマルウェアの中にもいくつかの区分存在します。
以下の通りです。

  • ウイルス
    既存のプログラムの一部を改ざんして自己増殖します。単独では存在できません。ウィルスはマルウェアの一種です。
  • ワーム
    自己増殖しますが、ウィルスと違って単独で存在可能です。
  • トロイの木馬
    パット見た感じ無害なアプリと見せかけて、ユーザーにインストールさせます。その後、外部からの命令で端末を操ります。
  • スパイウェア
    情報収集を主な目的とし、ウイルスやワームのような自己増殖機能は持ちません。

以後を読み進めていくにあたり頭の片隅に置いていただければと思います。

Androidにウィルス対策ソフトはいらないという意見

Googleのオープンソースプログラムマネージャー、Chris DiBona氏がGoogle+上でAndroidやiOS、BlackBerry OSにウイルス対策アプリは必要がないとの持論を展開。 また、「ウイルス企業(アンチ・ウイルス・ソフト企業)はユーザーの不安を煽り、意味のないアプリを売りつけるペテン師、あるいは詐欺師だ」とかなり強烈に批判しています。

引用元:Androidにウイルス対策アプリは不要。グーグル関係者、ウイルス企業は「ペテン師」と痛烈批判

・・・という意見ですが。

こんなことをGoogleの中の人が言っちゃうと、セキュリティ対策ソフトの開発者はガチ切れするんじゃなかろうか 笑

何せ、AndroidはGoogleが開発したものですからね~ ^^;

開発元のAndroid責任者がこういう発言すると影響力がデカいわけです。

ただ、根拠はちゃんとあります。

Androidアプリは「サンドボックス」と呼ばれる枠組み内で動作します。

サンドボックスとは、スマホ内にある一個ずつのアプリを砂(サンド)もこぼさないようなバーチャルな壁で囲み、壁の外にはアクセスさせなくするという仕組みを指します。

分かりやすく図にすると以下のようになります。

アプリAはアプリBが使用している領域にはアクセスできませんし、逆もしかりです。

当然、システム領域も同様にアプリからはアクセスできません。

よって、AndroidにWindowsで問題になるようなウィルスを勝手にインストールしたとしてもウィルス自身の領域以外にはアクセスできません。

ウィルスは、他領域にある既存のプログラムにアクセスして改ざんすることができないため、増殖も不可能というわけです。(カメラやストレージなどの記憶領域もユーザーの許可なしにはアクセス不可。)

ちなみに、これはAndroidに限った話ではなく、iOSにも同様の仕組みが存在します。

しかし、セキュリティ上の脅威は存在する。


Androidにウィルスが存在しないのは事実です。

しかし、危険が何も存在しないわけではありません。

Androidには大きく分けると、二種類のセキュリティ上の脅威があります。

一つ目は、悪質なアプリの存在。そして、もう一つはネット詐欺です。

順番に見ていきましょう。

悪質なアプリについて


Androidには標準機能としてアプリを安全に隔離して実行する仕組みがあるわけですが、実際問題として確かに悪質なアプリは存在します。

例えば以下のようなもの。

  • リモートアクセスツールによる盗撮・盗聴
  • 偽バッテリー節約ソフトが個人情報の収集
  • 偽セキュリティソフトがAndroid端末の乗っ取る
  • 悪質な宣伝広告がアプリ購入を強制する

いろいろありますが、正確にはウィルスというよりトロイの木馬やスパイウェアの類ですね。

しかし、そもそもなぜ悪質なアプリはAndroidのセキュリティ機能をすり抜けて動作できるのでしょうか?

結論から言うと、悪質なアプリが動作できる原因はユーザーが無自覚に、自ら悪質なアプリをインストールしたうえで活動する権限まで与えてしまっているからなんです。。

先ほどの話で言うと、アプリごとに隔離する壁(サンドボックス)があるのに、悪質なアプリに対して例外的に通り抜けてもいいよ!という許可をユーザーが手動で個別に与えているんです。

どういうことかわかりにくいと思いますので、具体例を挙げます。

例えば、アプリをインストールする際や実行時に、カメラ、マイク、電話帳などの機能一覧を出してアクセスしてもいいか聞いてくる画面がありますよね?

そこでよく考えなければなりません。

例えば、バッテリ節約ソフトをインストールしようとしたときに電話帳のアクセス権限を求めてくるのはおかしいわけです。

電話帳見てどーやってバッテリー節約するんだよ・・・と疑ってかかるのです。

電話帳を見たがるバッテリー節約アプリのどこがおかしいのかといえば、そもそも電話帳とバッテリーは全く関係がないわけで。

不自然な権限の要求をしているわけですね。

つまり、バッテリーを節約するフリをして電話帳データを盗み取っている疑いがあるということです。

(逆に、バッテリー節約アプリの中でも不自然な権限要求が無く、問題のないものもありますので、そこは誤解なきよう。。)

ちなみに、まっとうなアプリであれば、必要最低限の権限しか要求しません。

実際、Googleの開発者向けドキュメントでもそのように推奨されています。

また、商用アプリだと会社へのクレームや問い合わせへの対応が発生するリスクがあるので、開発側としても必要以上の権限を取得することにメリットはありません。

権限設定に気を付けつつ悪意のあるアプリを手動で入れてしまわなければ、多くの脅威は防げます。

ネット詐欺について


ネット詐欺とは、様々な手口がありますが代表的なものはフィッシング詐欺です。

フィッシング詐欺とは、実在する銀行・企業などのWEBサイトとそっくりな偽サイトを犯罪者が作成して情報を盗み取ろうとするような手口を指します。

ユーザーが、偽サイトを本物のサイトと勘違いして自分の個人情報を誤って入力してしまい、犯人が個人情報を悪用してしまうというものです。

具体例を図にすると以下のような感じ。

フィッシング詐欺の場合、何が問題かというと手口がアプリのインストールではないため、先ほど解説したAndroid標準のサンドボックス機構では防ぐことが出来ません。

最近は巧妙な手口のモノも出てきています。↓

フィッシング詐欺協議会
https://www.antiphishing.jp/news/alert/

緊急情報として様々な手口が紹介されています。

フィッシング詐欺協議会のサイトなどを確認して、最新の手口を知ってきましょう。ご注意を。

また、私が実際に遭遇した事例については以下の記事で紹介しています。

本物パスワードが漏洩+脅迫メールが来たので対処した話

まとめ:セキュリティ対策アプリは必要か?

個人的には、対策ソフトが必要かどうかはユーザーの知識レベル次第だと思っています。

自分で自分を守れるだけの知識があるなら、Androidの標準機能だけで乗り切るというのも一つの考え方としてはアリ。

一方で、不安があるなら被害にあってしまう前に対策アプリを導入した方が安心です。

問い合わせ窓口を通じて、困ったときにメーカーのサポートが使えるのは大きなメリットだと思っています。

セキュリティ対策アプリが必要かどうか、先ほど挙げた2つの脅威別に基準を考えましたので、参考にしていただければと思います。

悪質なアプリに対する対策


悪質なアプリ対策として、アナタが以下の条件に当てはまる場合、対策アプリがあった方が安心です。

  • アプリをインストールする頻度が高い。
  • 電話帳、カメラなどの権限がアプリごとに不自然かどうか判断が付かない。
  • セキュリティ上、不安のこと・わからないことがあった時に自己解決が難しい。
  • ネットバンキング、買い物などお金に関する操作頻度が高い。

お金に関する操作頻度が高い場合は何かあった時のダメージが大きいので、入れておいても良いかと思います。

あと、権限が不自然かどうかというのは、アプリの目的を考えたうえで不必要な権限を要求してこないか、という視点です。

権限って何?、権限の画面は見たことない、無意識にOKを押している、というアナタは勉強するか対策ソフトを入れたほうがいいです。

ITにあまり詳しくない方は、表示されたメッセージの内容を理解できず、危険なリンクをクリックしたり無意識にOKボタンを押してしまったり、というケースがよく見受けられます。

危なそうなことに気をつければいいんだな!で終わらせるのではなく、実際に対応できるかという点をよく考えてください。

ネット検索に慣れていなくて必要な情報にたどり着けない方、不安感を覚えている方も対策アプリを入れたほうが良いと思います。

対策アプリの導入をご検討の場合、例えば以下のアプリはおススメです。

ESETセキュリティソフト

それなりの検出率で動作も軽く、3年契約であれば1年あたりで計算すると価格が最も安い、という点でコストパフォーマンスが良いからです。(私はコレ使ってます。)



また、みんなが使っていて安心、という意味で国内シェアで選択したい場合は以下のようになっています。

海外の最新調査結果(AV-Comparatives、AV-TESTなど)で見ても悪意のあるアプリの検出率などの性能面では、いずれもほぼ横並びでトップクラスですので全く問題ありません。

迷うようなら知名度や愛着のあるものを選ぶというのもよいかと。

※参考:
・BCN AWARD 部門別受賞企業 セキュリティソフト
https://www.bcnaward.jp/award/section/detail/contents_type=307
・各機関のAndroidのアンチウィルスソフトの最新調査結果
- Android 360° Assessment Programme(Q4 2020) - MRG Effitas Ltd.
https://www.mrg-effitas.com/wp-content/uploads/2021/02/Effitas_Android-360_2020Q4.pdf
- Mobile Security Review 2020 - AV-Comparatives
https://www.av-comparatives.org/tests/mobile-security-review-2020/
- The best antivirus software for Android (March 2021)- AV-TEST
https://www.av-test.org/en/antivirus/mobile-devices/


※ZERO スーパーセキュリティについて

ZERO スーパーセキュリティはちょっと料金体系が特殊なので補足説明します。

ソースネクストの製品は「ZERO スーパーセキュリティ」と「ZEROウイルスセキュリティ」の二通りがあって大きな違いは、マルウェアを検知するプログラム(エンジン)の違いです。(中身が全く違う)

防御力で言うとBitdefenderを搭載している「ZERO スーパーセキュリティ」の方が間違いなく優秀なので、性能面を優先するならそっちかなと。(ZEROウイルスセキュリティは低価格ですが、性能は値段相応)

ただし料金体系が他のメーカーと違っていて更新料金がかからない代わりにライセンスが端末に紐づきます。紛失したり故障すると別端末に持ち越せないため、ご注意ください。

(Androidは2,3年で本体のセキュリティアップデートが切れるため、長く使えば得という料金設定はセキュリティの観点から見てちょっとなぁ・・・と思うので、私はAndroidには使ってません。

でも、搭載エンジンのBitdefenderは優秀なのでセキュリティアップデートが長くて故障・紛失リスクの少ない、PCにはZERO スーパーセキュリティを入れています。)

なお、無料のセキュリティ対策アプリに関しては私個人としてはオススメいたしかねます。(閲覧ユーザー様のコメントで質問がありました。ありがとうございます。)

というのも、全体的な傾向としてメーカーサポートが手薄だったり、そもそもセキュリティ対策アプリを騙った悪意のあるアプリも紛れ込んでいることがあるからです。

あと、これは私個人の主観ですが・・・無料だと責任の所在がわかりにくくなるので、大事な個人情報を任せるのに抵抗感があるというか、あまり好きではないというのが大きいですかね・・・。

無料対策アプリを検討されたい場合は、信用のおける第三者機関のレポートを参考にして安全性・機能性を吟味するとよいでしょう。

また、Android標準のGooglePlayプロテクトについて記事を執筆しましたので参考にしていただければと思います。

GooglePlayプロテクトだけでよい?評判は?IT技術者が解説。

ネット詐欺対策


ネット詐欺の手口は最近巧妙化しており、気が付かずに被害にあってしまうケースがあります。

普段から情報収集したり、意識して勉強している場合は大丈夫かもしれませんが、自力で詐欺と見破るにはそれなりにハードルがあると思います。

ネット詐欺に関して対策ソフトが必要かどうかの基準については、例えば以下のようなフィッシング詐欺実例をみてオカシイと感じるかどうかは一つの目安になるでしょう。

フィッシング詐欺協議会
https://www.antiphishing.jp/news/alert/

最新の事例が紹介されているので、いくつか見てみてしっかり判断ができると思われるなら、対策ソフトは必須ではないでしょう。

ただ、普段から意識しておくことにはそれなりにハードルがあるのもまた事実です。

詐欺手口は日進月歩で変化します。

心配であれば対策アプリに任せてしまうのもありでしょう。

特に、アプリはほとんどインストールしないけどネットショッピングなどのWebサービスは使用する、という人には向いていると思います。

アプリ権限のことを気にする必要はない、という思い切った使い方をしている方はこのアプリだけ入れておくというのも手です。

ネット詐欺専用セキュリティソフト「詐欺ウォール」

詐欺ウォールは必要か?評価は?IT技術者がレビューしてみる。

詐欺ウォールは、ソフトバンクの関連会社が開発しているネット上の詐欺手口に特化したセキュリティ対策ソフトです。

私も実際に使っていますが、国産なので日本国内の詐欺手口に強みを持っている点からおススメします。

一番重要なのは、知識を身に着けること。

以上、対策ソフトを紹介してみました。

ただ、一番のセキュリティ対策は知識を身に着けることです。

詐欺的なメッセージを見抜く、不審な挙動を察知して適切な対処をする、というユーザーの初動は重要です。

そのためには、最新の手口に関する情報、悪意のあるアプリの仕組みを知っておく必要があります。

今まで何もなかったからどうせ大丈夫!と思ってると、何かあった時に慌てます。

たまに私の友人や親が、変な画面になったスマホ持って駆け込んできますので。。。(本記事を書いた理由です。)

もし、何かお困りのことがあれば、お問い合わせフォームからお気軽にご連絡ください^^

とにかく表示されるメッセージは常に疑ってかかりましょう。迷ったら、操作せずに無視が基本です。

あと、最後に重要なことをもうひとつ。

Androidはできるだけ最新の状態を保ってください。

セキュリティアップデートが来たら必ず実行するようにしましょう。

Androidそのものの脆弱性が改善します。これは、非常に重要なことです。

なお、以下の記事でさらに詳しくAndroidで気を付けるべきことをまとめています。

内容的に本記事と少し重なる部分もありますが、参考になるかと思います。

現場の技術者が厳選!Androidでセキュリティ上、気を付けるべきことまとめ

また、関連記事としてiOSのセキュリティ対策についても解説しています。(本記事と共通点は多いですが、ご参考までに。)

iPhoneがウィルス感染したら?事例/対策など、IT技術者が徹底解説。

 

※写真:フリー写真素材ぱくたそ



-Android, セキュリティ, 技術者が考えてみた
-,

© 2021 楽々PCライフ