急速な普及とともに顕在化した
スマートフォンのセキュリティリスク
スマートフォンに関するセキュリティリスクの動向として、上杉氏はまず「スマートフォンを狙ったマルウェアの進化」を挙げた。特にAndroidの場合、アプリケーションを配信するAndroidマーケットの審査が比較的“ゆるい”ことから、多数のマルウェアがマーケット上に存在する。たとえば、ゲームアプリに見せかけて、端末に搭載されたGPSを第三者に定期的に送信するスパイウェア型ウイルスが公開されていたこともあった。
Androidマーケット経由に限らず、今後もさまざまなタイプのマルウェアが登場することが懸念されている。
「PCの世界では、Webサイトを訪れただけでマルウェアに感染してしまう『ドライブ・バイ・ダウンロード』と呼ばれる手法が問題になっているが、JavaScriptを扱えるスマートフォンでも、同じようことがいつ起こっても不思議ではない」と、上杉氏は続けた。
「Androidアプリの脆弱性」も、大きなセキュリティリスクとなり得る。事例としては、GoogleカレンダーやGoogle Contacts、Picassaで認証情報を入力した後に振り出されるデジタルトークンが暗合化されておらず、「Androidユーザの99%が危険にさらされた」としてメディアで大々的に報じられことが記憶に新しい。一度発行されたデジタルトークンは最大14日間使用可能なため、ハッカーが収集して不正アクセスに利用される恐れがある。特に、無線LAN環境ではデジタルトークンを収集されるリスクが高いという。
もう1つのセキュリティリスクとして上杉氏が挙げたのは、「脆弱なパスワード」だ。スマートフォンでは文字が打ちにくいため、パスワードはどうしても安易なものになりやすい。実際、パスワードを「1234」としているユーザが最も多いそうだ。しかし、そもそも数字だけのパスワードでは、10回程度のパスワードアタックで簡単に破られてしまうということを理解しておかなければならない。
まずはSSL導入を! サービス提供者に求められる
スマートフォン向けセキュリティ対策
こうしたさまざまなセキュリティリスクに対しては、実はユーザ以上に、コンテンツプロバイダ(Webサイト運営者やアプリ提供者など)側で取り組まなければならない対策が多い。上杉氏は、コンテンツプロバイダが「すぐできる対策」として、「まずは、SSL(https)を導入すべき」と強調した。
ジオトラストのSSLは、iPhone、Androidをはじめ、スマートフォンに100%対応しているのが特徴だ。気になるライセンスは企業認証で5万5000円、ドメイン認証で3万4800円とリーズナブルで、SSLサーバ証明書の発行も最短2分で完了(ドメイン認証の場合)と、導入時のハードルも低い(2011年9月末日まで、新規・乗換購入者全員にもれなく特製USBハブのプレゼントキャンペーンを実施中)。しかし、SSL導入にあたっては、「多くの人が陥りやすい“落とし穴”がある」と、上杉氏は警告する。
たとえば、SSL導入済みのサイトにユーザがスマートフォンでアクセスしようとすると、「このサイトのセキュリティ証明書には問題があります」といったエラーメッセージ(セキュリティ警告)が表示されることも少なくない。その原因としては、スマートフォン未対応のSSLを導入したことによるセキュリティ警告、ルート証明書がスマートフォンにプレインストールされていないことのほか、中間証明書の入れ忘れ、FQDN名とコモンネームの不一致、有効期限終了後の放置などのミスが非常に多いのだという。エラーメッセージが表示されると、ユーザの再訪問率は極端に落ちてしまう。せっかくのセキュリティ対策のために導入したSSLを無駄にしないためにも、「正しい手順で導入することが重要」と、上杉氏は改めて注意を促した。
最後に上杉氏は、SSL関連でよく受ける質問として「https化するとSEOで不利?」(A:301転送でhttpsに寄せるとSEO効果を引き継げる)、「https化すると遅くなる?」(A:GmailのSSLデフォルト化による影響はほとんどなし/Webサーバのkeepalive設定の緩和でパフォーマンスを維持する方法もある)などを解説し、セッションを終えた。
日本ジオトラスト株式会社
