このblogをどんな内容で更新していこうか悩む!
うーん、うーん。
Bloggerで楽に更新できる方法を少し模索してみよう。
2011年12月16日金曜日
2011年12月14日水曜日
Androidとセキュリティ
この記事は「 Android Advent Calendar 2011 」の裏エントリとして書いています。
14日の表エントリは@ytRinoによる「僕はGalaxy Nexusを手に入れることが出来たよ、あるいは独自画像でのローディング表現(Android Advent Calendar 2011 14日目) - ちりもつ」です。
前の日の記事は@gabuさんによる「きっと不便を便利にするためにコードを書き始めた僕たちへ - gabuchanの日記」です。
このエントリのために勢いでblogを復活させた黒えあと申します。
ん?過去の投稿がないって?
それは当たり前です!去年7月に開設しただけで放置していたのです!(イバルナッ
AndroidはHT03Aからの長いお付き合いで、Twitterでは色々な人に絡ませていただいてます。
テキストエディタで書いた内容をそのまま流し込んでいるので見づらいかもしれませんが、えーと…えーと…ごめんなさい!!!!(インデント、禁じ手の全角スペースです)
さて本題です。
スマフォって便利、使っていて楽しいですよね。
でも、実は結構危険もたくさんあるのです。
開発者向けに難しい記事が並ぶセキュリティを、少しでも分かりやすいように落とし込み、楽しく安心して使っていくために、少し気に止めていてほしいことを今回は書いていこうと思います。
本記事の対象はセキュリティにあまり詳しくない方です。
玄人の方へ
お馴染みのJPCERT、IPA、CAといった機関による1次情報を継続して監視しましょう(ΦωΦ)。
Androidに関するセキュリティ情報は『スマートフォン・オンラインゲームのセキュリティを考える【JOGA, JSSEC 共催】』に掲載されている資料も参考になります。
また、内容が内容なので間違っている箇所があれば、指摘をお願いします。
修正し、反映します。
なんで危ないの?
フィーチャーフォンと違い、スマートフォンは様々なアプリが使え、高度なブラウザを搭載しています。
できることが増え便利になると、それを使って悪さをしよう、という人がどうしても出てきます。
そんな高機能なスマートフォンのセキュリティは基本的にパソコンと同じです。
でも…携帯電話という特性上、アドレス帳やスケジュールの中に個人情報という重要な情報が大量に含まれているので、何かあった時のダメージはパソコンより大きいのです。
どんなリスクがあるの?
まず、思い浮かぶ身近なリスクです。
情報漏えい
個人情報が流出した場合迷惑メールやオレオレ詐欺といった
犯罪に利用されたり…
クレジットカード、パスワードといった情報が流出した場合、
不正に引き落としされたり…
会社の機密がネットに流れてしまったり…
リモート操作・踏み台
知らないうちにサーバー攻撃に加担してたり…
上にあげた2つのうちでも、よく話題となるのは「情報漏えい」です。
世間を騒がせたGumblerやWinny等々。。
ただし、リモート操作・踏み台も今後脅威になってくると思われます。
(カメラでかってに撮影されてたりとか、マイクで録音されてたりとか…怖)
どんな悪いやつがいるの?
悪さをするやつは大体、2つに大別されます。
セキュリティホールを狙った悪者(ウィルス・トロイ等々)
この悪者は普通のアプリケーションとして流通していることが多く、
基本的にユーザがスマートフォンに悪者アプリをインストールしてから
悪さを働きます。
参考:パソコンではメールの添付ファイルを開いただけで感染したり、
ホームページを開くだけで感染したりするケースがあります。
近い将来、Androidにもそんなことが起きるかもしれません。
うっかりものを狙った悪者(WEB系)
俗にいうフィッシング詐欺。
ホームページを閲覧しながら、ユーザがうっかり怪しいサイトに
クレジットカードを登録したり、電話番号や住所を登録したら…
立派な情報漏えいです。
昔々、Q2ダイアルといって知らないうちに電話をしてて
過大請求が!というのも、これに類します。。
どう気をつけたらよかと?
セキュリティホールを狙った悪者(ウィルス・トロイ等々)
インストール前にソフトの評判を見る癖をつけよう!
この悪者はインストールしない限り、悪さをしません。
しかしどのアプリが悪者か、見極めるのが非常に難しいという問題があります。
過去、公式のAndroidマーケットにも悪さをするように仕掛けられた
アプリが配布されていたこともあるので、Androidマーケットにある
アプリが安全だ!とも言い切れません(T_T)
極端な例ですが個人的な対策としては「信頼できるレビューサイト」で
レビューされたアプリのみインストールする、というのは結構有効と感じてます。
無名なアプリは良いアプリだとしても「悪者ではない」と
言い切ることができません。。
しかし、みんなが使ってるアプリであれば、そのアプリのブランド力を
落としてまで悪いことをする開発者はいないだろう!という考え方です。
良いアプリが見つかった!とインストールする前に、そのアプリのレビューを
見たり、ググる先生に聞いたりして、ほんとうにインストールしていいか
判断するといいでしょう。
ウィルス対策ソフトを入れよう!
日々、新しい悪者が生まれている現状、新しい悪者が苦手なウィルス対策ソフトに
対して過度な期待は禁物ですが、過去に出てきた悪者は悪さをする前に捕まえて
くれます。
以下のサイトを参考に、好みにあったウィルス対策ソフトをインストール
するのをお勧めします。
全Androidユーザー必見!ウイルス対策アプリまとめ - NAVER まとめ
Android向けセキュリティ対策アプリを使い比べる(無料アプリ編) (1/3) - ITmedia +D モバイル
続・Android向けセキュリティ対策アプリを使い比べる(無料アプリ編) (1/3) - ITmedia +D モバイル
Android向けセキュリティ対策アプリを使い比べる(有料アプリ編) (1/3) - ITmedia +D モバイル
うっかりものを狙った悪者(WEB系)
この悪者については、パソコンも携帯もありません。
うっかりしないでいただきたい!
ごめんなさい、少し冷たすぎました。
この悪者はAndroidにあまり関係無いので(・・;)
IPAがフィッシング対策の分かりやすい実例と対策を書いてくれてますので、
そちらを紹介したいと思います。
情報処理推進機構:情報セキュリティ:フィッシング (Phishing)対策
既に手遅れだった!悪者が携帯にいる!
既に、悪者が携帯電話で活躍している場合、悪者と正々堂々と戦っても
なかなか勝てません…。
あのペンタゴンに喧嘩を売ってる悪者もいるぐらいですから!
端末の挙動がおかしいと感じたら端末を初期化するのをお薦めします。
以上、駆け足ではありましたが、悪者とその対策について少しでも心に止めていただけたらと思います。
Let's enjoy happy Android life!!
落書き1
裏のテーマとしてふさわしいダークサイドなネタとして思いついたのが、セキュリティなのですが…。
昔、某社でセキュリティチームに属していたこともあり、「これならイケルな、フハハっ」と軽い気持ちで登録したのが運の尽き。
えっと、Googleさん。
裏会に登録した直後に対処が難しいAndroid関連の脆弱性が複数発見されるなんて、どんなイジメですか?
(2011/12/7)「Android」脆弱性確認 アプリ仲介で個人データ流出も - MSN産経ニュース
(2011/12/2) Carrier IQ、Android スマートフォンのキー入力をトラッキング - インターネットコム
ま…まぁ、このようなこうした脆弱性は日々新しく見つかります…しかしタイミングが(T_T)。落書き2
1から自分でHTML書いたほうがよかった。
時間があるときにCSS書いて清書する!
登録:
投稿 (Atom)