スマートフォンの充電によるデータ収集の危険性を調査

2016年6月08日
ウイルスニュース

~USBを介したコンピューターへの接続で、デバイス名などの基本的な情報がスマートフォンから送信されることを確認~

[本リリースは、2016年5月26日にKaspersky Labが発表したプレスリリースに基づいた抄訳です]

空港やカフェ、公共交通機関などにある、無料の充電スポットを利用するときに、スマートフォン内のデータは安全なのかと、不安に感じたことがあるかもしれません。Kaspersky Labのエキスパートは、スマートフォンをUSBでコンピューターに接続して充電する際、どのようなデータをどれだけ送信しているかについて、調査を行いました。

今回の調査の目的は、PCやMacなどのコンピューターとの接続時に、スマートフォンからどのような情報が送信されているかを把握することです。調査は各種バージョンのOSが稼働するAndroidやiOSスマートフォンで実施されました。

その結果、スマートフォンはコンピューターと「ハンドシェイク」によって接続を確立する際に、様々な情報をコンピューターに送信していることがわかりました。その中には、デバイス名やデバイスのメーカー名、デバイスの種類、シリアルナンバー、ファームウェア情報、OS情報、ファイルシステム/ファイルリスト、電子チップIDなどが含まれます。送信される情報の種類は、デバイスやホストによって異なりますが、デバイス名、メーカー名、シリアルナンバーなどの基本的な情報は各スマートフォンとも共通しています。

ハンドシェイクによってスマートフォンの基本的な情報を送信することは間接的に、セキュリティ上の問題であると言えます。スマートフォンは常に所有者が携帯しているため、データを収集して悪用を企む者にとっては、スマートフォンが固有の識別データになり得るからです。もちろん、識別データを収集するだけでは攻撃も限定的ですが、識別データを活用してマルウェアへ感染させることも可能です。

例えば、2014年に開催されたイベント「Black Hat」では、携帯電話を充電スポットに接続するだけでマルウェアに感染させ得るという可能性が発表されました。その発表から2年たった今、Kaspersky Labのエキスパートはその結果を再現することに成功しました。一般的なPCとMicro USBケーブルを使って、特別なコマンド(いわゆるATコマンド)を利用するだけで、スマートフォンを再起動して管理者権限が必要なroot アプリをもインストールすることができました。マルウェアを使わなくとも、スマートフォンのセキュリティが完全に侵害されたことになります。

充電スポットを悪用したインシデントは今のところ発表されていませんが、コンピューターに接続されたスマートフォンからのデータ窃取は過去にも発生しています。2013年のサイバースパイ活動「Red October」Hacking Team社によるモバイルデバイスの感染にもこうした手口が利用されています。サイバー犯罪組織も、スマートフォンとコンピューターの間で行われる、ハンドシェイクの悪用方法を発見しています。攻撃者は、接続されたスマートフォンから受け取った識別データを確認し、標的が利用しているスマートフォンのモデルを調べ、最適なエクスプロイトを選んで攻撃することができます。USBポートへの接続時に自動的に情報が送信されなければ、このような攻撃は簡単には成功しなかったでしょう。

Kaspersky Labのリサーチャーであるアレクセイ・カマーロフ(Alexey Komarov)は、次のように警告しています。「スマートフォンがUSB経由でマルウェアに感染する可能性を示した発表から約2年が経っているにも関わらず、その仕様が未だに通用することは奇妙です。このセキュリティリスクは明確で、一般のユーザーであれば、デバイスIDを悪用した追跡される可能性であり、アドウェアやランサムウェアといったマルウェアもスマートフォンに感染させる恐れもあります。特に、大企業の意思決定を行う人物の場合、攻撃者の標的になる可能性はより高くなります。このような攻撃に高度なスキルは必要ありません。必要な情報はすべて、インターネットで簡単に見つけられるからです」

充電スポットや信頼できないコンピューター経由で受けるサイバー攻撃のリスクから身を守るために、Kaspersky Labは以下の対策を推奨しています。

  • スマートフォンの充電の際には、信頼できる充電スポットとコンピューターだけを使う
  • スマートフォンにはパスワードや指紋認証などを登録してスマートフォンを保護し、充電中はロックを解除しない
  • 暗号化技術とセキュアコンテナ(機密情報を隔離するためのスマートフォン内の保護された領域)を利用してデータを保護する
  • 実績のあるセキュリティ製品やサービスによってスマートフォンとコンピューターの両方をマルウェアから保護する。そうすることで、「充電」の脆弱性を狙った場合にもマルウェアを検知できる。

本調査の詳細については、Securelist.comのブログ記事をご覧ください。