Android セキュリティ 技術者が考えてみた

現場の技術者が厳選!Androidでセキュリティ上、気を付けるべきことまとめ

毎日、何気なく使っているスマートフォンですが、ネットに常時接続しているため様々な危険が存在します。

特に電話帳にはたくさんの個人情報が記録されています。そのため漏洩してしまうと周りの人にまで被害が及ぶ可能性も・・・。

本記事では、スマホアプリ開発技術者の立場からAndroidスマホを使用するうえで気を付けるべきことを解説します。

なお、読者としては一般ユーザーを想定しているため高度に技術的な事柄は扱いません。

なるべくわかりやすく説明していきます ^ ^

悪意のあるアプリやトラブルの種類について

様々なものがありますが、代表的なものを挙げてみます。

・リモートアクセスツールによる盗撮・盗聴
・偽バッテリー節約ソフトが個人情報の収集
・偽セキュリティソフトがAndroid端末を乗っ取る
・悪質な宣伝広告がアプリ購入を強制する
・メールから誘導されたサイトにアクセスすると請求が発生(ワンクリック詐欺)
・本物そっくりな偽サイトでID,パスワードを入力してしまい、情報が抜かれる(フィッシング詐欺)

いろいろありますが、大きく分けると

・悪意のあるアプリ
・不正なサイトに誤ってアクセス

の二通りですね。

上記のようなセキュリティ上のリスクを抑えるうえで気を付けるべきことを以下にまとめました。

 

ユーザーが気を付けるべきこと

インストール時に求められる権限に注意!

まずは、そもそもなぜ悪意のあるアプリが動作できるのかというところを説明していきます。

Android搭載スマホには標準で、アプリごとに安全に隔離して動作させる仕組みが備わっています。

分かりやすく図にすると以下の通りです。

アプリAは別のアプリBの領域にはアクセスできませんし、逆もしかりです。

当然ながらスマホの根幹にかかわるシステム領域にもアクセスできません。

カメラや電話帳といった本体へのアクセスも個別にユーザーの許可が必要です。

アプリをインストールする際や実行時に、カメラ、マイク、電話帳などの機能一覧を出してアクセスしてもいいか聞いてくる画面がありますよね?

そこでよく考えなければなりません。

インストール時や実行時、アプリに対してアクセス許可を与えるということは、機能一覧に出したものは好きに使っていいよ!というお墨付きを与えることになります。

先ほどの話で言うと、アプリごとに隔離する壁があるけど例外的に通り抜けてもいいよ!という許可を与えていることになるため非常に危険です。

具体例を挙げると、バッテリー節約ソフトをインストールしようとしたときに電話帳のアクセス権限を求めてくるのはおかしいわけです。

電話帳見てどーやってバッテリー節約するんだよ・・・と疑ってかかるのです。
まっとうなアプリであれば、必要最低限の権限しか要求しません。

実際、Googleの開発者向けドキュメントでもそのように推奨されています。

またアプリに余計な権限をもたせると意図しない動作をした時のリスクが高まるため、普通の開発者は不要な権限を要求するような作りにしません。

 

不正なURL、広告に気を付ける!

3つのケースに分けて説明します。

1.悪意のあるアプリをダウンロードさせようとするケース

攻撃者が用意したダウンロードページから悪意のあるアプリをダウンロードしてしまうケースがあります。
例えば、スマホでwebサーフィンしてるとイキナリ「ウィルスに感染しました!対策ソフトをインストールしてください!」みたいな表示が出るアレです。

対策ソフトと見せかけて、実際には悪意のあるアプリをインストールさせるわけです。
入れるならちゃんと名の知られた企業のアプリをインストールしましょう。開発元をちゃんと確認する習慣をつけてください。

ただ、Google Play公式ストアであっても不正なアプリが紛れ込む恐れがあるため、安心しないようにしましょう。

それと、出所不明の無料wi-fiスポットにアクセスすることで不正なサイトに誘導されて意図せずに悪意のあるアプリをダウンロードしてしまうケースもあります。

外出先の無線LANも気を付けましょう。なるべくアンテナアイコンに鍵マークの付いた、暗号化されているものを選んでください。

2.イキナリお金を請求してくるケース

不正なサイトにアクセスしたとたん、謎の利用料金を請求してくることがあります。

対策としては、無視すること!これが最強です。

IPアドレス ( インターネット上の住所みたいなもの ) や逆探知した地域名を画面に出して、あたかも個人を特定できるように謳って訴訟をチラつかせるケースがありますが、心配無用です。

IPアドレスから個人情報を割り出すのは基本的には警察にしかできませんし、当の警察ですらIPアドレスの逆探知に失敗して誤認逮捕した事例もあります。

4件すべて誤認逮捕と認め謝罪  PC不正操作事件で分かった、いいかげん捜査
https://www.j-cast.com/2012/10/22150964.html?p=all

IPアドレスはそもそも簡単に偽装できるものですし、個人を特定するのは難しいことなのです。

3.公式サイトにそっくりな偽サイトに騙されるケース

例えば、銀行のネットバンキングサイトにそっくりな偽サイトがあり、誤ってログインIDとパスワードを入力してしまう場合が該当します。

URLのSSL暗号鍵表示から見抜く方法が有効かと思います・・・が、説明が難しいなぁ。。と思っていたところ、非常に良い解説サイトがあったので紹介します。

フィッシング詐欺とは?これで安心!詐欺を見抜くコツと対策のすべて
https://blogs.mcafee.jp/phishing-trick-preventive

心配な場合は、以下のように詐欺対策の特化したセキュリティ対策ソフトもありますのでオススメします。
ネット詐欺専用セキュリティソフト「詐欺ウォール」

触ってはいけない設定

Androidの設定に「提供元不明のアプリのインストールを許可する」という設定がありますが、オンにしてはいけません。
(触った覚えがなければデフォルトではオフなのでご安心を。)

これは開発者向けの設定で、本来は公式のGoogleストアを経由しない開発中のアプリをテストするために存在するものです。

設定の意味を理解したうえで、信頼できるアプリをインストールするなら問題ありませんが、できれば触るのはやめておきましょう。

以下の記事にあるような悪質なアプリは、この設定を触らないだけで防げます。

本物そっくり!?「偽・佐川」に厳重注意を!
https://www3.nhk.or.jp/news/html/20180727/k10011551201000.html

記事の中でトレンドマイクロの広報担当者は、対策として「見覚えのないアプリは速やかに削除すること。」とおっしゃってますが、インストールしてからでは遅い。

今回紹介した「提供元不明のアプリのインストールを許可する」を変更しないことで、怪しいソフトのインストールを未然に防ぐ、というのがより正解に近いと思います。

スクリーンロックを設定する!

これは意外な盲点だと思いますが、スクリーンロックは必ず設定しましょう。
起動時にパスワードや指紋を求める機能です。

うっかりスマホから目を離したスキにGPSで位置を追跡するアプリとか仕込まれたら自分の現在地がモロバレです。
見ていないところで知人、友人、家族に・・・なんてことも。

システムアップデートは常に最新にしましょう!

ときどきシステムアップデートのお知らせが入ると思いますが、これはセキュリティ上の脆弱性に対応するものが含まれるため必ず行うようにしてください。

今まではメーカーにより対応や頻度がまちまちだったのですが、今年5月のGoogleの発表によると端末メーカー各社に対して契約により定期的なセキュリティパッチの提供を義務付けたそうなので今後は少しずつアップデートの頻度が増えていくかもしれません。面倒くさがらずにやっていきましょう!

先週開催されたGoogleの開発者会議「Google I/O」で、「Android」のセキュリティ統括者が、OEM各社が契約により定期的なセキュリティパッチの提供を義務付けられるようになると語った。
「セキュリティパッチの提供をOEM契約に盛り込むことにも取り組んできた。これにより、定期的なセキュリティパッチを受け取るデバイスとユーザーの数が大幅に増加するだろう」と、Androidプラットフォームのセキュリティを統括するDavid Kleidermacher氏は述べた。

引用元:グーグル、「Android」端末メーカーに定期セキュリティパッチの提供を義務づけへ

まとめ

以上、いろいろと紹介してきましたが、いかがだったでしょうか。

要するに気を付けるべきは以下の5点です。

・アプリのインストール時、実行時の権限設定は疑ってかかること。

・不正な広告やURLをクリックしない、クリックしても落ち着いて対応すること。

・システム上の設定は理解しないまま触らないこと。

・スクリーンロックを設定すること。

・システムアップデートは必ず実施すること。

参考にしていただければ、嬉しいです ^^



-Android, セキュリティ, 技術者が考えてみた
-,

© 2024 楽々PCライフ