モバイル＆ワイヤレス

人気ゆえに犯罪も増加傾向

　2011年3月、グーグルのモバイル・ソフトウェア・ストア「Android Market」が、同ストアにとって初めての大型のマルウェア被害を被った。個人情報を盗み出そうとするマルウェア「DroidDream」の仕込まれたアプリケーションが、同マーケットで配布されていたのである。これを受けたグーグルは、Androidにあらかじめ組み込んでおいた「キル・スイッチ」を利用して、問題のアプリを削除せざるをえない状況に追い込まれた。もっとも、キル・スイッチが作動したときには、すでに膨大な数のAndroidスマートフォンが感染の被害に合っていた。

　グーグルのAndroidプラットフォームはかつてないほどの人気を博している。デジタル・マーケット測定企業の米国コムスコアによれば、Androidは同国のスマートフォン市場でシェア31％を獲得し、最も人気の高いスマートフォン用OSになっているという。

　同時にAndroidは、プラットフォームの人気に乗じて利益を得ようとするハッカーなどから格好のターゲットとしても注目されており、利用者側がAndroidのセキュリティを学ばなければならないときが迫っている。以降では、さまざまな脅威からAndroidスマートフォンを守るためのヒントを挙げていく。

（1）今すぐ画面のパスワード・ロックを
　Androidを最も効果的に保護する方法は、画面をロックすることだ。強力なパスワードは（いや、非力なパスワードであっても）、ユーザーとスマートフォンを大抵の脅威から守ってくれる。攻撃者が画面ロックを突破しないかぎり、端末上のデータは基本的に保護される。

　Androidスマートフォンの機種によって機能は多少異なるものの、パスワードの設定方法はほとんど変わらない。メニューの中の「設定」を開いて、「位置情報とセキュリティの設定」かこれに相当する名前の項目までスクロールしてタップする。「画面ロックの設定」で画面ロックを設定すると、その端末で利用できるロック解除のパターンが表示される。

　例えば、筆者が利用している「MOTOROLA ATRIX 4G」は、指の軌跡を設定できるパターン・ロック、暗証番号で端末を保護するPINロック、数字だけでなく文字も利用できるパスワードロック、さらに端末の指紋リーダーを用いる指紋認証に対応している。

　指紋認証が最も強力なのだろうが、生体情報をグーグルのサーバに保存するのには抵抗があるので、筆者はパスワード・ロックを使っている。安全面で見ると、指紋認証に次いで、パスワード・ロック、PINロック、パターン・ロックの順になるだろう。いずれにしろ、これらのセキュリティ・オプションのうち、どれかを有効にしておくことが何もしないよりもマシである。注意点があるとすれば、パターン・ロックを利用する際は、タッチスクリーン画面を頻繁に拭いておくことだ。同じパターンを繰り返し入力しているうちに画面に跡が残り、端末へのアクセスを狙うハッカーにつけ入る隙を与えることになる。

　パスワードを設定したら、次はスクリーン・タイムアウトを短めの時間に設定しよう。こうすることにより、端末を最後に触ってから画面の表示が消えるまでの時間を短縮できる。設定するには、メニューから「設定」、さらには「画面設定」と進んでいき、「バックライト消灯」などを選択して時間を決める。個人的には、1分以下に設定することを推奨したい。

（2）ロックしたホーム画面に所有者情報を表示
　例えば、飲み屋にスマートフォンを置き忘れてしまった場合を想像してほしい。幸い親切な人が見つけ、持ち主を探そうとするものの、端末にロックがかかっている。ホーム画面に表示されているのは、美しいだけで何の役にも立たない海岸の風景だ。

　これは実際によく起こるシチュエーションである。スマートフォンの持ち主が端末のホーム画面に所有者情報を表示できるように設定していれば、端末が持ち主の元へと返される可能性も高くなるはずだ。しかし残念なことに、リサーチ・イン・モーション（RIM）の「Blackberry OS」などほかのモバイル・プラットフォームにあるような、ロックしたホーム画面上に持ち主の情報を表示する機能がAndroidには標準搭載されていない。そこで、サード・パーティのアプリケーションを利用して設定することになる。

　Androidのホーム画面に所有者の情報を表示する筆者お気に入りの方法を紹介しよう。利用するのは、Android Marketで無料提供されている「Phone Found - Owner Info」だ。これを設定するには、まずアプリケーションを起動して、「Edit」メニューから自分の連絡先を登録する。次にアプリケーションの「Settings」画面を開き、ロックのかかったホーム画面上に表示したい情報を選択すればよい。

　もちろん、ここで表示する情報は、必要最低限のものにとどめておくべきだ。また、所有者情報を表示させたくない場合は、紛失したスマートフォンを諦め、遠隔操作でデータを消去できるようにするアプリケーションを活用するという方法もある。

（3）root化は絶対にしないこと
　Android端末を「root化」するというのは、メーカーや通信事業者が設定した制限を端末から取り除いて、好きなアプリケーションやサービスなどをインストールしたり利用したりできるようにすることを指す。

　端末をroot化すると、デバイスの中核的なリソースにアクセスするシステム権限を手に入れられるが、これは少なくともセキュリティ上の観点からすると好ましいことではない。マルウェアや危険なコードから端末を守るために施された多くの保護手段が、root化によって取り除かれてしまうからだ。

　root化しなければ、便利なカスタム・アプリケーションやサービスへのアクセスは制限され、非公式のサード・パーティ・アプリストアからアプリケーションをダウンロードできないかもしれない。しかし、root権限がなければアプリケーションが端末のシステム・レベルにアクセスすることもない。これは、root化を避ければセキュリティが大きく高まることを意味する。

　繰り返しになるが、Android端末は絶対にroot化しないこと。どうしてもroot化したい場合は、端末にあらかじめ施されていたセキュリティ保護の多くを解除してしまうことを覚悟しておいてほしい。

（4）公式のAndroid Marketアプリを使う
　Android用のモバイル・アプリケーションはどこからダウンロードすべきか、よくよく考えたほうがよい。DroidDreamの一件で公式のAndroid Marketであってもマルウェアや有害アプリケーションが無縁ではないことが露呈したものの、それでもやはり、アプリケーションはグーグルのAndroid Marketからのみダウンロードするようにすべきだ（当のグーグルもDroidDreamの騒動以来、Android Marketのセキュリティを強化する意向を明らかにしている）。

　筆者もAndroid Market以外の場所からAndroidアプリケーションを時折ダウンロードするが、これは潜在的な危険性を理解したうえでのことである。こうしたときはダウンロード後に必ずウイルス・スキャン・ソフトを使い、セキュリティを担保するようにしている。Androidにおけるウイルス対策については次の項でで詳しく説明しよう。

　筆者の経験からすると、AndroidソフトウェアはAndroid Marketから直接入手するのが賢明であることを繰り返し強調しておく。

（5）Androidのウイルス対策
　優れたモバイル用ウイルス対策アプリケーションは、新しくダウンロードしたAndroidソフトウェアをスキャンして、不自然なパーミッション設定やダウンロード要求などの不審な動きを検知しようとしてくれる。現在のAndroid Marketでは有料、無料を問わず、たくさんのAndroid用ウイルス対策アプリケーションが提供されている。

　Android Marketにあるものすべての実効性を保証することはできないが、何も使わないより、人気の高いものをどれか利用しておくほうがよい。筆者が最もよく利用しているのは「Lookout Mobile Security」という無料アプリケーションで、基本的なウイルス・スキャン機能のほか、紛失や盗難に遭った端末の位置特定に役立つ「Find-My-Phone」機能、データをバックアップ／復元するためのオプションを備えている。アップグレード版でより多くのセキュリティ機能を使うこともできるが、一般ユーザーにとって必要な基本的な安全対策は無料版で十分だ。

　ウイルス対策に役立つ他のアプリケーションとしては、「Antivirus Free」などもある。その名のとおり、無料のアンチウイルス製品だ。

　ウイルス対策アプリケーションを常時動作させるつもりはないにしても、どれか1つはダウンロードしておこう。端末を定期的にスキャンし、潜在的に有害なアプリケーションがないことをチェックするようにしたい。

（6）ワイヤレス接続とセキュリティ
　Androidで使用していないワイヤレス接続機能は、すべて無効にしておくのも一案である。例えば、自宅を出るときはWi-Fiを無効にして、外出先では他のWi-Fiネットワークに接続しない。車の中でヘッドセットをBluetooth接続した場合も、用が済んだらBluetoothをオフにする。こうすることでバッテリを温存できるだけではなく、知らぬ間に攻撃者から端末を検出されたり、接続されたりするリスクを減らすことができる。

　Wi-Fi自動接続機能のある端末を利用している場合は、これも無効にしておこう。公共のWi-Fiアクセス・ポイントに端末が自動接続し、悪意のある人にデータにアクセスされてしまうのを防ぐめだ。メニューの「設定」から「ワイヤレスとネットワークの設定」「Wi-Fi設定」などを順次選択して調整しておく。端末がWi-Fi自動接続機能を備えるかどうかはここの画面で分かるはずだ。自動接続をオフにすれば、機能を無効にできる。

　ポータブル・アクセス・ポイント機能をサポートするAndroid端末を利用している場合は、まず自分のネットワークを保護することも大切だ。「ワイヤレスとネットワークの設定」をタップし、画面を下にスクロールして「テザリングとポータブルアクセスポイント」へ。さらに「ポータブルWi-Fiアクセスポイント」チェック・ボックスをオンにして、「ポータブルWi-Fiアクセスポイントの設定」をタップする。

　Wi-Fiアクセス・ポイント機能をオンにすると、「ポータブルWi-Fiアクセスポイントの設定」画面に「Wi-Fiアクセスポイントを設定」というオプションが表示される。このメニューを開いてネットワーク名を入力し、ドロップダウン・メニューからセキュリティの種類としてWPA2 PSKを選択したうえでネットワークのパスワードを入力しよう。設定を保存すればWi-Fiアクセスポイントのセキュリティが確保される。

　Wi-Fiを利用しないときは設定をオフにしておく。こうすることで、権限のない人がユーザーのネットワークを利用し、月ごとのデータ通信量を食いつぶしたり、端末の情報にアクセスしたりすることを防げるようになる。

【注】Androidの画面や機能の名称はGoogleモバイル・サポート・ページとそのリンク先に記載された名称を採用