548 - [´・ω・`] tor-exit.liteserver.nl 2023/03/20(月) 22:58:43.98 ID:6u2CRyg10
続き(これも山岡が関係する箇所のみ)
正面玄関突破型は、犯罪者があなたのIDとパスワードを入手して、あなたの情報を盗むというものだ。現在は多くの人のIDやパスワードなどの情報がダークWebなどで違法に販売されており、ターゲットにしたい企業名などで検索すれば1件あたり1000円ほどで買えてしまう。サイバー犯罪全体の実に9割はこのパターンだと山岡氏は言う。
コロナ禍にランサムウェアの被害にあったニップンや徳島県つるぎ町立半田病院、大阪急性期・総合医療センターなども、このパターンだそうだ。他にも正解になるまで、あらゆる文字の組み合わせでパスワードを当てようとするブルートフォースや、WordPressなどWebページ作成に使われているツールの初期設定のパスワードで侵入を試みる方法などもある。
2つ目は、フィッシング(詐欺)メールなどを使って侵入をするパターンだ。以前は日本語がカタコトで、すぐに怪しいメールと判別ができたが、最近はAIによる翻訳の精度が上がったことや日本人が犯罪に加担し始めている影響で、このパターンの危険度も上がっている。
とはいえ、これら2種類のサイバー犯罪は、サイドローディングなどのアプリの流通経路には関係ない。
「サイドローディング/アプリ代替流通経路」で危険にさらされるのは、3つ目の「設計ミス」、いわゆる脆弱性を狙った攻撃だ。
スマートフォンのOSやアプリなどは、全て(現時点ではまだ)人が作ったプログラムであり、そこにはほぼ必ず設計ミスが存在する。こうした設計ミスを突くことでプログラムは予想外の挙動をすることがあるが、それを試行錯誤して研究し中に侵入したり、必要な情報を引き出したりするのが脆弱性攻撃だ。
サイドローディングが行われ、十分な素行調査が行われないアプリがインストールされると、ユーザーが何かの他の目的でインストールしたトロイの木馬型アプリがユーザーの知らないところで、こういった脆弱性を突いて情報を盗むなどの悪さを始める。
「Androidに比べればかなり少ないが、iOSにも脆弱性は存在する」と山岡氏は言うが、内閣官房デジタル市場競争本部はどう考えているのか。
この2月に、有志のITジャーナリスト達が集まって行われた勉強会で、同本部が1月に行った会議の資料が回覧された。資料には「アプリ代替流通経路の類型ごとの脅威分析」として、「アプリによる他のアプリやストレージへの攻撃については、モバイルOSの機能として備わっているサンドボックスにより防御が一定程度可能」である。
しかし他方で、「ユーザーがアプリに各種情報へのアクセスの許可を与えた結果として情報が搾取されたり、端末に不要な負荷をかけたりするような一定の脅威については、サンドボックスによる防御が困難」と、実はその危険性を認識している。
にも関わらず、その文章の真下の表では、「他のアプリやストレージへの攻撃」への対策として「サンドボックスで対応」すると、まるでサンドボックスが完璧な防御になっているかのような書き方だ。数行上にある本文では、「一定程度の防御」だったはずなのに、表ではいつの間にか話がすり替えられている。
ちなみにサンドボックスとは、OSや個々のアプリを、それぞれ分離した領域で実行するという技術だ。言うなれば無菌の手術室の手術道具を1つ1つ全て滅菌した袋に入れて管理しているようなものだ。このためサイドローディングで入手した「野良アプリ」が、OSや他のアプリに対して悪さをしようと試みても、このサンドボックスの壁によって守られるというのが原則であり、同本部の資料で提示されている安全性の根拠だ。
しかし、先の山岡弁護士は「サンドボックスも完璧ではない」と指摘する。実際にAppleは数週間に1回ほどのペースでセキュリティに関するOSのアップデートを行っている。最近行われたアップデートの1つ、iOS 16.2でも25個の脆弱性が見つかっており、そのうち2つはサンドボックスに関するものだ。
同氏は「最高峰のセキュリティを誇るといわれる、AppleのiOSでも完璧ではない」という。悪意ある人たちの間でこうした情報をAppleが把握する前に広がれば、そこを突いて情報を盗み出されたりする危険もある。
いずれにせよ、サイドローディングを認めることでiOSのセキュリティレベルが下がることはあっても、上がることはない。
山岡弁護士や先の日本スマートフォンセキュリティ協会のように、名前を出して自らの責任において危険性を訴えている専門家が多くいる一方で、デジタル市場競争会議の資料の中で、サイドローディングの必要性やサンドボックスの安全性を唱えているのは、素性の明かされていない消費者団体やセキュリティの専門家達だ。