Androidのセキュリティ対策総まとめ
Androidを搭載するスマホは多彩な機能で便利に使える半面、実はセキュリティ面では多くのリスクが存在します。
例えば、
- インストールしたアプリが悪意のあるものでスマホから重要なデータを盗まれてしまった。
- リンクをクリックしたらスマホをロックされてしまった。
- Webサイトの宣伝に誘導されるままアプリをインストールしたらマルウェアに感染した。
- SNSに家族で遠くに旅行していると書き込んでしまい、自宅に侵入された。
といったAndroidスマホに関する被害が実際に出ています。
ここでは、こうした被害に遭わないためのAndroidのセキュリティ対策について紹介します。スマホ利用者は年々増えていますが、同時にマルウェアの数も年々増えてきています。この記事を読んで、安心してスマホを利用できるようぜひ参考にしてみてください!
※セキュリティ対策アプリを知りたいという方のために、おすすめのセキュリティ対策アプリを記事の最後でいくつか紹介しています。
目次:
公式アプリを装う詐欺アプリにご注意を!
AndroidはOSレベルでオープンソースとして公開されているので、誰でもAndroid用のアプリを開発することができます。また、作成したアプリは審査を受けることで、Googleの公式アプリストア「Google Play」で公開できますが、非公式のアプリストアや個人のホームページなどで公開することも可能です。
しかしサイバー犯罪者は、誰でもアプリを開発できるという利点を逆手に取って、Androidアプリを利用してウィルスを感染させようと画策しています。
その手法は、既存のアプリに少しだけ手を加えて、金銭や情報を得ようというものです。以前には、有名なゲームアプリ「Angry Birds」の詐欺アプリが登場したこともありました。無料で配布されていた Angry Birds の詐欺アプリをインストールしてしまうと、ユーザーの許可なく「プレミアムSMSメッセージ」を送信します。その結果、ユーザーは高額な通信料を請求されることになります。
参照:
Android版”Instagram”および”Angry Birds Space”の偽アプリを確認 | トレンドマイクロ セキュリティブログ
省電力アプリのはずが、実は「詐欺アプリ」という場合も
また、「省電力アプリ」を語る詐欺アプリも大量に確認されています。
「省電力」を謳うアプリには偽物が非常に多く、本来の機能が提供されないばかりか、スマホにある連絡先などの個人情報を勝手に送信したり、許可を得ずに広告を強制的に表示したりします。詐欺アプリの中には「発電できる」という触れ込みのものもありましたが、もちろん現在のスマホではアプリのみで発電することは不可能です。「あったらいいな」と思うような夢の機能を提供するようなアプリに出会ったら、注意が必要です。
さらに最近では、WebサービスやECサイトの詐欺アプリも確認されています。
国内で使用されている日本語のものはまだまだ少ないですが、海外ではこうした詐欺アプリが増加しています。たとえば検索をはじめとする各種サービスを提供している「Google」の詐欺アプリは、ユーザーにIDとパスワードを入力させることでログイン情報を盗み出し、ユーザーになりすまして決済を利用するのです。
「Google Play」にも多数並ぶ不審なアプリ
詐欺アプリは「無料」や「便利な機能」といった謳い文句でユーザーをだましてインストールさせ、さまざまな悪さをします。恐ろしいことに、詐欺アプリは「Google Play」にも大量に潜んでいます。
以前は「Google Play以外のサイトからアプリをダウンロードしない」という対策も有効でしたが、今では意味をなくしつつあります。サイバー犯罪者は、問題のないアプリでGoogleに申請を行って許可を取り、その後のアップデートで悪意のあるアプリに差し替えるといった方法で詐欺アプリを提供していることもあります。「Google Play」の名前を利用しているわけですから悪質です。
そして現在、問題となっているのが「グレーゾーン」のアプリです。
グレーゾーンのアプリとは、何の問題もなく説明どおりの動作を行う、一見すると正規のアプリですが、セキュリティ的には怪しい振る舞いを行うものです。
このようなアプリは、あらかじめ用意されている特定の機能をパッケージしたものを組み合わせて制作されることが多くあります。そういったパッケージには、インターネットに接続するための通信機能やファイルを他のアプリに渡す共有機能などが備わっています。
では、そのアプリ制作のパッケージ自体に悪意が込められていたとしたら、どうでしょうか?
実際に、サイバー犯罪者がこのようなパッケージを提供している例が確認されています。まったく悪意のないアプリ開発者でも、悪意のあるパッケージを気付かずに組み込んでしまうと、開発者の意思とは無関係に情報を盗み出す機能が搭載されてしまいます。
怪しい振る舞いをするアプリは、「Google Play」で公開されているアプリの80%を占めるという調査報告もあります。もはや、ユーザーだけの判断で危険なアプリを回避することは難しくなっているのです。
詐欺アプリ対策をするには、「Google Play」以外のサイトからアプリをダウンロードしないことはもちろんですが、「Google Play」内でも注意が必要です。
Google Play 内の詐欺アプリをインストールしないためには
まずはアプリをダウンロードする前に、アプリがアクセスする情報について確認します。そのとき、アプリがスマホ内の情報を必要以上に要求してくる場合には注意が必要です。
たとえば省電力アプリが連絡帳のデータにアクセスする必要はないはずです。
また、そのアプリや開発者についてインターネットで調べてみることも有効な手段となります。
アプリをダウンロードする時にアプリがアクセスする情報(権限)については別の記事で解説していますのでご覧ください。
アプリをダウンロードする時に出る「次へのアクセスが必要」って何?
セキュリティ対策アプリにはそういった詐欺アプリ情報を保護に活用しているものもあります。
[ここまでのまとめ]
- スマホアプリは非常に便利だが、同時にスマホに危険を及ぼす悪意のあるアプリも存在する。
- 以前は「Google Play」以外でアプリを入手しないことが対策となっていましたが、最近では「Google Play」にも危険なアプリが潜んでいる。
- セキュリティ対策アプリの導入や、開発元情報、スマホにアクセスする情報などのチェックも大切。
Webサイトのリンクのクリックでマルウェアに感染するおそれが!
スマホを使ううえで、Webサイトの閲覧は徐々にリスクの高いものとなっています。
Webサイトの中には、マルウェアに感染させたり、重要な個人情報を盗み出す目的で作られたものも多く存在しており、それらは出現と消滅をくり返しています。また、正規のWebサイトであっても安全とは言い切れません。サイバー犯罪者の手によって正規のWebサイトがこっそり改ざんされ、危険なサイトにされてしまった例もあるのです。
また以前はパソコンがターゲットとなっていましたが、現在では標的がスマホに移りつつあります。パソコンと同様に、スマホもマルウェアに感染します。特にAndroidは、オープンソースのOSであるためアプリの開発が比較的容易です。今や、スマホを含む携帯電話の普及率はパソコンの普及率を上回っており、サイバー犯罪者にとっては、もはやスマホを標的とした方がより効果がある状態になっています。
実際にAndroidに感染するマルウェアは、急激に増加しています。2011年には3,000種ほどだったのが、2013年には約120万種となりました。
参照:
その内容も変化しています。以前は詐欺アプリと同じように高額な「プレミアムSMSメッセージ」を送信するものが中心でしたが、現在はスマホにある情報を盗み出すものから、スマホを乗っ取ってしまうものまであります。
スマホを乗っ取る悪質なマルウェアも
情報を盗み出すマルウェアは、そのスマホ固有のIMEI(国際移動体装置識別番号:端末識別番号)やネットワークアダプタのMACアドレスといった情報のほか、所有者の情報や連絡先の情報などをターゲットにします。
また、ユーザーの入力内容を記録する「キーロガー」や、表示している画面を画像として記録する「キャプチャ」などを駆使して、Webサービスやオンラインバンキングなどのログイン情報も盗み出そうとします。
また、スマホを乗っ取るタイプのマルウェアに感染した場合、スマホを遠隔操作されてしまいます。つまり、スマホが自分の手にありながら、サイバー犯罪者に自由に操作されてしまうわけです。乗っ取られてしまうと、スマホに保存されている情報を盗み出されるだけでなく、オンラインバンキングを利用して勝手に送金をされたり、大量のスパムメールを送信されてしまったりとサイバー犯罪者の思うがままになってしまいます。
さらに最近では、スマホを標的とする「ランサムウェア」が増加しています。ランサムウェアはマルウェアの一種と言えます。感染するとスマホやスマホ内のファイルをロックして使えなくしたうえで、ロックを解除するための「身代金」を要求してくるのです。たとえ指定の口座にお金を振り込んでもロックが解除されるとは限らず、しかもクレジットカード情報がサイバー犯罪者の手に渡ってしまいます。仮にロックが解除できたとしてもランサムウェア自体が削除されるわけではないので、再びロックされてしまう可能性もあります。
ランサムウェアは、スパムメールなどで誘導されたサイトで感染するケースが多いようです。アクセスすると「あなたのスマホでマルウェアを検出しました」といったアラートが表示され、マルウェアを駆除するために無料のウイルス対策ソフトをインストールするよう勧められます。そこで「OK」をタップすると、ランサムウェアがダウンロードされてしまうのです。
参照元:
スマホ向けのマルウェアは、アプリのふりをしてインストールされるケースがほとんどです。サイバー犯罪者は、Webサイト上の広告や検索結果、あるいはメールなどを利用してそのアプリに誘導します。
対策としては、怪しいURLのリンクをうっかりクリックしないようにすればいいのですが、短縮URLが使われていて文字列では判断できなかったり、実際のサイトのURLに近いドメインであったりと巧妙化しています。このような対策には、ウイルス対策アプリが有効でしょう。
[ここまでのまとめ]
- 現在、マルウェアがスマホに感染する経路は、Webサイトがほとんどを占めている。
- Webページのリンクや、スパムメール、フィッシングメールに記載されたリンクをクリックすることで感染する。
- 感染すると、スマホをロックして“身代金”を要求する悪意のあるものもありますので、セキュリティ対策アプリの導入や、不審なメールは開かないといった心構えも大事。
SNSやメールにも感染の危険は潜んでいる
メールで送られてくるURLには注意
TwitterやFacebook、LINE、Vine、InstagramなどのSNS(ソーシャルネットワークサービス)は、スマホと親和性の高いアプリです。スマホはパソコンと違って持ち歩くものなので、出先で写真を撮ってリアルタイムでSNSに書き込むことも可能です。またSNSアプリには、簡単にメッセージをやり取りできたり、無料の通話機能が搭載されているサービスもあるので、活用頻度がますます高まっています。
こうしたSNSやメールにも危険が潜んでいるので、注意が必要です。
まず、詐欺アプリや危険なWebサイトへの誘導にメールやSNSが使われています。こうしたメールには、まったく身に覚えのないところから届く「スパムメール」や、悪意を持ってだまそうとする「フィッシングメール」などがあります。
スパムメールは、主に大手のショッピングサービスやそれに類似したブランド名などを使用して、「大安売り」や「限定品セール」といった言葉でリンクをクリックさせようとします。こうしたスパムメールは短縮URLを使用していることが多いため、正確なURLアドレスが分かりづらいという問題もあります。こうしたスパムメールはそもそも開かずに削除するのが一番です。
フィッシングメールは、銀行やゲームなど実在する企業やサービスからのメールを装います。その内容は、「セキュリティ機能をアップデートしたので、下記のリンクからログインしてアップデートを適用してください」といったもので、ユーザーをだましてログインさせようとします。このリンクは、多くがフィッシングサイトに誘導するもので、アクセスすると、本物と見分けのつかないログインページが表示されます。
フィッシングサイトにアクセスして、IDやパスワードを入力してしまうと、入力した情報を盗まれてしまいます。サイバー犯罪者は入手したログイン情報で銀行などにアクセスし、不正送金などを行います。金融機関やゲームサービスがこのようなメールを送ることはないので、やはり開かずに削除するのが賢明です。気になる場合は、リンクをクリックするのではなく対象の銀行やサービスのサイトに直接アクセスし、アップデートなどの情報があるかどうかを確認するようにしましょう。
SNSで届くスパムのほか自分の投稿にも注意
こうしたスパムやフィッシングは、SNSにも送られてきます。たとえば、友達や知り合いがマルウェアに感染したりスマホが乗っ取られてしまうと、友達や知り合いのふりをして危険なサイトへのURLが書かれたメッセージが送られてきたり、タイムラインに書き込みが行われます。たとえ知っている相手でも、URLが貼り付けられたメッセージには注意しましょう。
自分でSNSに書き込みを行うときも注意が必要です。
たとえばFacebookなどでは、「全体に公開」や「友達のみに公開」など、公開範囲を設定することができます。「家族で○○に旅行に来ています」などと「全体に公開」で書き込むことは、世界中に向けて「いま家には誰もいません」と言っているようなものです。位置情報も合わせて公開されることもあるので、書き込みの内容と公開設定を確認したうえで書き込むようにしましょう。
また、SNSと連携するようなアプリも注意が必要です。自分の友達の情報も公開するような設定があると、自分だけでなく友達にも迷惑がかかってしまいます。Facebook連携アプリの中には、本来の目的とは関係なく友達やメールアドレスなどの情報を要求してくるものがあります。もしそれが悪意のあるアプリだった場合、連携するSNSの情報が盗み出される可能性があるのです。
SNSを利用する場合は、書き込む内容と公開設定について、よく確認しましょう。「設定」メニューを探せば、公開設定などを確認することができます。上手に使えば非常に便利なサービスですので、安全な使い方を理解して楽しく使いたいものです。
[ここまでのまとめ]
- 多くのスマホユーザーが利用しているSNSにも危険がたくさん潜んでいる。
- 友達のフリをしたメッセージでマルウェアのあるWebサイトに誘導したり、スパムやフィッシングの例もある。
- SNSは世界中に情報を発信してしまうので、書き込む内容や公開範囲にも注意が必要。
最新のウイルスに対応するためにパッチやアップデートはまめに実施する
2015年7月に米国のセキュリティ企業ZIMPERIUMは、Androidの新たな脆弱性を指摘し、そこにつけ込んだ新手の乗っ取り方法を発表しました。それは、MMSでビデオメッセージを送りつけるという方法で、入口こそ一般的なフィッシングなどと似ていますが、問題は、メッセージを受信してしまうだけで端末を乗っ取られてしまうという点にあります。
ZIMPERIUMは実際に乗っ取りを行う動画も公開していますが、スマホユーザーが端末に触れることなくあっさりとrootが奪われるという衝撃的な内容になっています。これが事実であれば、MMSを自動受信にしている限り、常に乗っ取られる危険性があるということになります。
すでにGoogleに対しては報告済みで、修正パッチも提供済みとのことです。特に危険性が高いのはAndroid 4.1以前の端末で、修正パッチは、キャリア、またはメーカーから提供されるようです(時期や内容は不明)。
この脆弱性に限らず、OSやハードウェアの脆弱性が見つかった場合、修正パッチやアップデートで解消することになります。
OSやファームウェアは常に最新の状態にしておくことは、セキュリティ対策の基本なのです。
セキュリティアプリでの対策は必須
Androidがサイバー攻撃者の標的になっていることを考えると、今後はさらに巧妙化、悪質化した攻撃が発生する可能性があります。セキュリティ対策アプリの導入は必須といえるでしょう。
Android向けのセキュリティ対策アプリは無料のものを含めて数多くありますが、万一の際のサポートや機能を考えると、無料のアプリはあまりお勧めできません。
英語版では無料で多機能なセキュリティ対策アプリもありますが、ここでは日本語で使用できるAndroid向けのセキュリティ対策アプリを紹介します。無料版が用意されているものもありますし、有料版のアプリでも無料で試用できる期間が設けられているものがあります。気になったものを試してみるのもいいでしょう。
予測的セキュリティがポイントの「Lookout」
米Lookout社が提供する「Lookout」は、スマホ向けの統合セキュリティアプリ。2014年より日本でも本格展開を開始しており、アプリも日本語化されています。アプリのコードにおける共通の「DNA」を分析することで、脅威による被害を未然に防ぐ「予測的セキュリティ」が特徴です。無料版と有料版があり、有料版では個人情報の流出検知やリモート消去などの機能も搭載されています。
| アプリ名 |
 Lookout |
|---|---|
| 開発 | Lookout Mobile Security |
| 価格 | 無料版・有料版あり |
| ダウンロード |
 |
強固な保護を提供するロシア製
「カスペルスキー インターネット セキュリティ for Android」
カスペルスキーはロシアに本社を持つセキュリティ企業。モスクワオリンピックやロシアF1でもセキュリティ担当を務めています。同社の「カスペルスキー インターネット セキュリティ for Android」は、マルウェア・スパイウェア対策、Web脅威対策、着信・メールのフィルタリング、盗難・紛失対策と統合的な機能を搭載しています。また、パソコンやMac、Android共通で使える「マルチプラットフォーム セキュリティ」も用意されています。
| アプリ名 |
 カスペルスキー インターネット セキュリティ for Android |
|---|---|
| 開発 | カスペルスキー |
| 価格 | 3,024円(1年版)30日間の無料体験が可能 |
| ダウンロード | カスペルスキー インターネット セキュリティ for Android 製品購入 |
パソコンでは定番の「ウイルスバスター モバイル」
パソコン版では個人用セキュリティ対策ソフトでシェアNo.1の実績を持つ「ウイルスバスター」のモバイル版。特に不正アプリの検出に力を入れており、トレンドマイクロが持つグローバルの脅威データベースを元に不正なアプリを検出します。そのほか、ウイルス対策やWeb脅威対策、盗難・紛失対策、データバックアップなど、統合的な機能を搭載しています。「ハローキティバージョン」も用意。
| アプリ名 |
 ウイルスバスター モバイル |
|---|---|
| 開発 | トレンドマイクロ |
| 価格 | 3,065円(1年版)30日間の無料体験が可能 |
| ダウンロード | ウイルスバスター モバイル 製品購入 |
パソコンでおなじみ「ノートン モバイルセキュリティ」
パソコン版では、「ウイルスバスター」と並び定番となっている、シマンテックのセキュリティ対策ソフト「ノートン」のモバイル版。統合セキュリティアプリとしてWeb脅威対策、盗難・紛失対策、データバックアップなどを搭載しており、特にウイルス対策、ワンクリック詐欺サイトなどのフィッシング詐欺をブロックする機能が特徴的です。
| アプリ名 |
 ノートン モバイルセキュリティ |
|---|---|
| 開発 | シマンテック |
| 価格 | 2,800円(1年版) |
| ダウンロード | ノートン モバイルセキュリティ 購入 |
[ここまでのまとめ]
- セキュリティ対策アプリには、無料の英語版なども人気だが、やはり本気でスマホを守るならサポートがしっかりした有料アプリを選びたい。
- スマホがランサムウェアに感染して大切なファイルを失ったり、盗難されてオンラインバンキングを勝手に利用されたりするリスクを考えれば、セキュリティ対策アプリは大きな負担にならない。
正しい知識を身につけ、セキュリティ対策を行いましょう
世界的にユーザーが急増しているスマホ。特にAndroidは人気で、Androidスマホは世界でも大きな割合を占めています。それだけにサイバー犯罪者にも狙われやすく、スマホを攻撃するためのマルウェアが次々に作成され、危険度、巧妙さが増しています。
スマホは電話だけでなくショッピングや銀行も利用できるため、盗まれたり乗っ取られてしまうと、大きな損害を受けることになります。また、連絡帳やSNSの友達などの情報が流出してしまうと、友達にも迷惑がかかってしまいます。
サイバー犯罪者は、あの手この手で攻撃を仕掛けてきます。そのため、セキュリティ対策アプリを導入することはもちろんですが、怪しいメールは開かない、怪しいWebサイトにはアクセスしない、SNSの書き込み内容や公開範囲に注意するといった、ユーザー自身のセキュリティへの意識を高めることが対策になります。
セキュリティ対策を意識して、便利なスマホを大いに楽しみましょう。
こちらの記事はいかがでしたか?
お役に立ちましたか?
もしよろしければお友達に
ご紹介お願いします!
この記事を書いた人(編集:モバレコ編集部)
編集部ピックアップ
モバイルに関する最新情報をSNS・メールで簡単にチェック!
-
スマホやタブレット、SIMなどのモバイルに関する、最新情報やお得な情報を毎週お届けします。
送信する