長年のMacユーザーとして、自分のシステムが他のほとんどのシステムよりも安全なコンピューティング環境であることは、ある程度の安心感を与えてくれます。しかし、コンピュータセキュリティに関しては、あまり傲慢にならないようにしています。開発者として、すべてのソフトウェアにはバグがつきもので、中には悪意のあるハッカーに悪用されるほど深刻なものもあることを知っています。Windowsマシンの圧倒的な市場シェアは、マルウェア作成者にとってより大きく、そしてより容易な標的となっていますが、もし状況が変われば、OS Xも同様に守勢に立たされる可能性があります。
この「安心できる」考えを念頭に、スマートフォン市場について考えてみましょう。スマートフォンは実際には携帯電話の皮を被ったコンピューターであり、不完全な人間が作った欠陥のあるソフトウェアを実行しています(そう、AppleのiOSでさえ完璧ではありません!)。したがって、「本物の」コンピューターと同様に、スマートフォンも重大なソフトウェアバグを悪用されて侵入される可能性があります。さて、インターネット利用のシェアが最も高いモバイルOS(少なくともこの記事の執筆時点では)を考えてみましょう。そして、それゆえに、そのOSもまた大きな標的となっているのです。
ここまで読んで、あなたはおそらくこう思っているでしょう… いったいどうやってマルウェアが私のiPhone、iPod touch、iPadに侵入するのだろう? コンピュータを侵害する最も簡単な方法は、悪意のあるメールをユーザーに送ることです。文書や画像を表示するためのソフトウェア(Microsoft Word、Adobe Acrobat Reader、Webブラウザなど)の欠陥を悪用したファイルを開いたり表示したりするだけで、コンピュータが侵害される可能性があります。メールには、Webブラウザをフィッシングサイトに誘導してユーザー名やパスワードを盗み取らせようとするリンクや、ローカルマシンで自動的に実行される悪意のあるコードを含むサイトに誘導するリンクが含まれていることもあります。モバイルデバイスでメールにアクセスする人が増えている現在、悪意のあるハッカーがこの脆弱性をスマートフォンにも利用するのは当然と言えるでしょう。
デスクトップパソコン向けには、この種の攻撃から保護するソリューションが数多く提供されていますが、スマートフォンには現在、この種の保護機能が不足しています。MAD Partnersは、この欠点を解消するため、一般消費者とITプロフェッショナルの両方を対象とした、17ドルのiPhoneアプリを含むメールセキュリティサービスを提供しています。このサービスは、iPhone、iPod touch、iPadを悪意のあるメール攻撃から保護するように設計されています。
Mobile Active Defense (略称MAD)と呼ばれるこのアプリは、常に監視するメールフィルターとして機能し、悪質なメールをブロックし、適切なメールだけを通過させます。本稿執筆時点では、Windows Mobile版も提供されており、Symbian版とAndroid版は現在開発中です。さらに、このサービスはOS XのメールやMicrosoft Outlookなどのデスクトップメールクライアントでも利用できます。報道によると、すべてのIMAPおよびPOP3メールサービスに対応していますが、Exchangeサーバーはまだサポートしていません。Exchangeのサポートも開発中とのことです。
MADアプリは実際にはiPhone上で常時実行されているわけではなく、Appleのサーバー上に特別なメールアカウントを設定・構成するためにのみ使用されます。このアカウントは、通常のメールアカウントとiPhoneのメールアプリの中間に位置し、システムの動作の鍵となります。設定自体は難しくありませんが、Appleのセキュリティ制限により、アプリはiPhoneの既存のメール設定にアクセスできません。設定中にその情報を再入力する必要があります。そのため、設定を始める前に、iPhoneのメール設定画面にアクセスし、SMTP設定を含む情報をメモしておくことをお勧めします。
下調べが終わったら、アプリを開いて簡単なセットアップウィザードに従ってください。完了すると、MADのサーバーにアカウント(1年間のメール保護が含まれています。アプリ内購入でさらに1年間保護されます)が作成され、iPhoneに新しいメールアカウントが作成されます。これが「保護された」アカウントになります。その後、メール設定でメインアカウントを無効にしてください。(iPhoneから削除する必要はありません。保護されたアカウントからのメールのみがiPhoneに届くように無効にするだけで十分です。)その後、MADのシステムは定期的にメインのメールアカウントに問い合わせを行い、新着メッセージをサーバーにコピーし、各メッセージを分析して悪意のあるメッセージが含まれていないか確認します。悪意のあるメッセージは破棄され、安全なメッセージは保護されたメールアカウントに転送され、iPhoneの受信トレイに表示されます。(元のメッセージはすべてメインのメールアカウントで引き続き閲覧可能で、デスクトップパソコンやWebブラウザから直接アクセスできます。)
ご想像のとおり、このプロセスにより、メッセージがメインのメールアカウントに受信されてから、MADのシステムがそれを取得し、審査し、サニタイズされたアカウントで利用可能になるまでの間に、多少のオーバーヘッドが発生します。私のテストでは、遅延は2分から10分と幅広くなりました。
iPhoneのセキュリティ強化を約束するのであれば、このような遅延は許容できるトレードオフだと思うなら、次に考えるべきは、このサービスの信頼性、効果、安全性はどの程度なのか、ということです。専門のセキュリティ調査会社でもない限り、これを完全にテストするのは難しいかもしれません。私はセキュリティの専門家ではないので、私のテストは科学的なものではなく、あくまでも個人的な経験に基づくものです。しかし、私が行ったテストは以下のとおりです。まず、MADのテスト専用のGmailアカウントを設定しました。そして、以下のテストを行いました。
• MADの設定で設定したサイズを超える添付ファイルを自分自身に送信しました。Gmailでは問題なく送信できましたが、iPhoneではMADがブロックしてくれました。(奇妙なことに、少なくともコンシューマー版では、メールの添付ファイルのサイズはユーザーが設定できる唯一の設定です。)
• 次に、適切に設定されたメールサーバーであれば安全ではないと判断するはずのメッセージ、つまりWindows実行ファイル(.exe、.com、.dllなど)が添付されたメッセージを自分自身に送信しました。予想通り、これらのメッセージはGoogleによってフィルタリングされたため、MADのサーバーには届きませんでした(もっとも、iPhoneではいずれにせよ無害だったはずですが)。
• エンタープライズレベルのメールセキュリティ製品を幅広く開発しているGFI社が提供するメールセキュリティテストを実行しました。テスト対象となった17件の脆弱性のうち、Googleは9件を通過させましたが、MADのシステムではそれ以上フィルタリングされませんでした。(繰り返しますが、これらの脆弱性はWindowsマシンでよく見られるものです。)
• 次に、SpamCopとGoogleが報告した、フィッシングサイトやマルウェアサイトのURLをいくつか集めました。私のメインアカウントはGmailでホストされているため、これらのメッセージはブロックされるだろうと予想していましたが、実際にブロックされ、MADのサービスに届くことはありませんでした。
これらの非科学的なテストに基づくと、私の場合、MAD は Google の組み込み対策と比べて大きな改善効果は得られませんでした。ただし、メールアカウントのホスティング場所や受信するメールの種類によっては、効果は異なる場合があります。
私のテストに基づくと、次の改善によりシステムがさらに便利になると思います。
• 現在提供されている電子メールの添付ファイルのサイズだけでなく、すべてのフィルター設定をより細かく制御できるようになります。
• MAD のフィルタリング アクティビティを示すレポートを提供し、設定を微調整してブロックされる内容や許可される内容を制御する機能を提供します。
MADは、複数のレベルのメールセキュリティサービスを提供しています。私はコンシューマーレベルのサービスを試しましたが、エンタープライズレベルやプロバイダーレベルのサービスでは、より高度な制御や設定オプションが提供されている可能性があります。企業のセキュリティ管理者で関心をお持ちの方は、MADがシステム内を移動するデータをどのように保護しているかを含め、これらのオプションについてさらに詳しく調べることをお勧めします。(開発者のウェブサイトに掲載されているプライバシーポリシーと利用規約には、顧客データを責任を持って取り扱っていることが示されているようです。)
スマートフォンの脆弱性攻撃は現在ではごくわずかですが、今後さらに悪化することは間違いありません。また、受信トレイから手動で削除する手間を省くだけでなく、不要なメールをフィルタリングすることには一定の価値があると言えるでしょう。今日のメール脆弱性攻撃の大部分はiOSデバイスやMacでは機能しませんが、誤って他のユーザーに転送してしまうと、他のマシンに危険をもたらす可能性があります。では、なぜチフスのメアリーのように、感染したメールを友人に無邪気に転送し、自分は感染していないというリスクを冒す必要があるのでしょうか?
どのように対策を講じるかは、様々な要因によって異なります。ソフトウェア保護をさらに強化する必要があると思われる場合は、MAD が解決策となる可能性がありますが、少なくとも私のケースでは、その効果は決定的なものではありません。幸いなことに、開発者は MAD の 30 日間の試用版を提供しているので、無料で試用してご自身で判断することができます。
いずれにせよ、電子メールに関する賢い習慣を身につけること、つまり、画像の自動表示をオフにする、電子メール メッセージ内のリンクをクリックしない、知らない添付ファイルを開くときは注意する、といった習慣を身につけることは、コンピューターや携帯電話で保護ソフトウェアを実行すること以上に、迷惑メッセージから身を守るのに大いに役立ちます。
[ブライアン・ビームは、カンザスシティ近郊に住む、BOLD Internet Solutions のウェブ開発者兼パートナーです。 ]
