シマンテックは今週、「モバイルデバイスセキュリティの窓」を公開しました。これは23ページにわたる文書で、AppleとGoogleがそれぞれのモバイルOSで採用しているセキュリティ対策を詳述しています。また、iOSとAndroidプラットフォームで過去に発見されたセキュリティホールや、今後発生する可能性のあるセキュリティホールについても詳しく解説しています。
シマンテックは、直接比較した結果、AppleのiOSがGoogleのAndroidよりも安全であると結論付けました。具体的には、iOSはマルウェア攻撃に対して「完全な保護」を備えているのに対し、Androidは「保護がほとんどない」と評価されました。
iOSは、リソースの不正利用やサービス攻撃、データ損失、データ整合性攻撃に対する保護がAndroidよりも優れています。Appleのプラットフォームは、アクセス制御、アプリケーションの出所、暗号化といった分野でも、より優れたセキュリティ機能の実装が明らかになりました。
実際、GoogleのAndroidプラットフォームがiOSを上回ったのは、セキュリティ分野「分離」のみでした。この分野ではAndroidが最高評価を獲得し、iOSは「中程度の保護」を提供していると評価されました。
シマンテックのレポートは、iOSに特に焦点を当て、Appleの「出所アプローチ」が強力なセキュリティバリアとして機能していると結論付けています。App Storeでリリースされるすべてのアプリは審査手続きを経るからです。レポートによると、このアプローチは「マルウェア攻撃、データ損失攻撃、データ整合性攻撃、そしてサービス拒否攻撃に対する抑止力として機能している」とのことです。
報告書では、iOS は「適切に設計されており、これまでのところ、攻撃に対してほぼ耐性があることが証明されている」と評されている。
しかし、シマンテックはiOSに脆弱性を発見した。具体的には、2007年まで遡る200件ものセキュリティホールだ。脆弱性はどれも弱点だが、発見された問題の大部分はそれほど深刻ではない。報告書によれば、攻撃者は「単一のプロセスを制御できるものの、デバイスの管理者レベルの制御権を奪うことはできない」という。
調査では、管理者レベルの制御へのアクセスを可能にする可能性のあるセキュリティ上の懸念が発見され、最も深刻度の高いものとされた。シマンテックは報告書の中で、攻撃者が管理者レベルの制御権を獲得した場合、「デバイス上の事実上すべてのデータとサービス」へのアクセスが可能になると述べている。
Synamtec のレポートでは、iOS のセキュリティ侵害の最もよく知られた例である、2009 年 11 月に公開された iPhoneOS.Ikee ワームが取り上げられている。しかし、このワームは、ユーザーが自主的に「ジェイルブレイク」したデバイスにしか影響を与えなかった。ジェイルブレイクとは、ユーザーが iPhone に不正なソフトウェアをインストールして保証を無効にするプロセスを指す用語であり、Apple が顧客に対して、これがセキュリティ上の大きな懸念事項であると明確に伝えている。
レポートでは、iOSの隔離モデルも強調されています。iOSは「従来の種類のコンピュータウイルスやワームを完全に阻止し、スパイウェアがアクセスできるデータを制限します」が、シマンテックは「あらゆるタイプのデータ損失攻撃、リソース悪用攻撃、データ整合性攻撃を阻止できるわけではない」と述べています。
最後に、iOSの権限モデルは、デバイスの位置情報やSMS、電話アプリへのアクセスを保護します。これにより、攻撃者がユーザーの位置情報を把握したり、SMSメッセージを送信したり、ユーザーの同意なしに電話番号に電話をかけたりすることを防ぎます。
Android に関しては、シマンテックは、Google のモバイル オペレーティング システムは従来のデスクトップ オペレーティング システムに比べて大幅に改善されているものの、2 つの大きな弱点があることを発見しました。
まず、既存の来歴システムにより「攻撃者が匿名でマルウェアを作成し、配布することが可能になる」ことが調査で判明した。さらに、権限システムは「重要なセキュリティ上の決定をユーザーに委ねている」ため、Androidユーザーの大半は高度な技術力を有していないことを考えると、これが問題を引き起こす。
今年2月、ソフォスのセキュリティ研究者はGoogleに対し、アプリの無線インストールを中止するよう促しました。研究者らがGoogleに強く求めたのは、無線インストールによって、何も知らないAndroidユーザーがマルウェアを迅速かつ静かにインストールできるようになると予想したためです。
ソフォスは、ウェブサイトで「インストール」ボタンが押されるとすぐに、ユーザーからの入力なしに、バックグラウンドでアプリケーションがデバイスにインストールされると警告した。
このレビューは、「モバイルデバイスはセキュリティに関しては玉石混交である」と結論付けています。モバイルデバイスはセキュリティを重視して設計されているものの、消費者市場向けに作られているため、使いやすさを優先するあまりセキュリティが犠牲になっているのです。
