Transcript 発表(グループA)
モバイルマルウェアの動向調査 グループA 荒木 雅斗 岡本 洋平 中尾 仁 前田 翔平 はじめに • 調査論文 • 「A Survey of Mobile Malware in the Wild」 -A. P.Felt, M.Finifter, E. Chin, S.Hanna, and D. Wagner • 論文の流れ • • • • • 脅威モデルとセキュリティ対策の方針 マルウェアの紹介と防衛策 マルウェアの識別方法の検討 Root exploitsについて 関連研究 2 1. INTRODUCTION -1• スマートフォンの機能 • デスクトップコンピュータと同様の目的で使用 • Webブラウジング,SNS,オンラインバンキング • スマートフォン特有の機能も使用 • SMS,位置情報(GPS),ユビキタス • 機能性ゆえに,近年人気を得ている その結果… • 急速に,悪意のある活動の標的となっている 3 1. INTRODUCTION -2• モバイルマルウェア研究 • 従来 • 概念実証のみ • 近年 • 実際の脅威となっており,実際のモバイルマルウェアを調査する 必要がある • 本論文で調査するマルウェア • 2009年1月~2011年6月に登場 • 4個のiOS,18個のAndroid,24個のSymbian用マルウェア 4 2.1 THREAT MODEL • モバイルに対する脅威 • マルウェア • パーソナルスパイウェア • グレーウェア 5 2.1 Threat Types -1• マルウェア • 行動 • データを盗む • デバイスに危害を与える • いたずら • 実行方法 • 悪意あるアプリケーション,またはデバイスの脆弱性を利用し てリモートアクセス •例 • • • • トロイの木馬 ワーム ボットネット ウイルス 6 2.1 Threat Types -2• パーソナルスパイウェア • 内容 • 個人情報を収集 • 位置情報 • テキストメッセージの履歴 • 実行方法 • デバイスに物理的にアクセスし,ユーザの知らないうちにソフ トウェアをインストールする •例 • 攻撃者が配偶者のデバイスにアプリケーションをインストール し,配偶者の個人情報を攻撃者に送信する 7 2.1 Threat Types -3• グレーウェア • 内容 • ユーザデータの情報収集 • マーケティングやプロファイリングが目的 • ユーザに真の機能と価値を提供する • 実行方法 • グレーウェアをインストールしたユーザから情報収集 • ユーザはグレーウェアに同意する必要がある •例 • 企業のプライバシーポリシーに同意したユーザから情報を収 集 • サービス向上のために利用 8 2.2 Security Measures -1• セキュリティ対策 • Market • アプリケーションをダウンロードするためのWebサイト • Permissions(アクセス許可) • アプリケーションが機密情報にアクセスするための権限 • 実例 • iOS, Android, Symbianのセキュリティ対策を検証 9 2.2 Security Measures -2• iOS • Market • アプリケーションのインストールはApp Storeからのみ • App StoreのアプリケーションはAppleがレビューし、許可が出た ものが公開されている • その他のストアからインストールしたい場合は脱獄する必要 がある • Permission • GPSへのアクセス、Appleへ通知を送信するときのみアクセス 許可を要求 • その他は初回起動時に要求 • App Storeで厳格にレビューをしているため、アクセス許可の要 求はAndroid(後述)に比べて多くない 10 2.2 Security Measures -3• Android • Market • Googleが公式のアプリケーションストア(Android Market)を提供 • アプリケーションの公開前にレビューは行わない • ユーザからの苦情があった場合に削除 • (補足)2012年3月6日に「Google Play」に改名 • http://internet.watch.impress.co.jp/docs/news/20120307_516919.html • 非公式のMarketからもアプリケーションをインストールできる • Permission • アプリケーションのインストール時にアクセス許可を要求 • アクセス許可システムが広範囲 • 電話番号、連絡先のリスト、カメラ、Bluetooth等 11 2.2 Security Measures -4• Bouncer • Googleが2011年から使用しているマルウェア検知シス テム http://itpro.nikkeibp.co.jp/article/COLUMN/20120330/388359/ 12 2.2 Security Measures -5 • Symbian • Market • Nokiaは公式のマーケットOviを提供している • App Storeと同様にアプリケーションを公開する前にレビューして いる • その他のサイトからもダウンロードが可能 • それらのサイトはレビューをしていない • Permission • 「Symbian署名」を採用 • 署名されたアプリケーションのみがアクセス許可を得る • 署名のレビュープロセス • 通常の権限は自動化されたプロセスによって審査される • 最も危険な権限を得るためには人間によって審査される 13 3. MOBILE MALWARE DATA SET • 3.1 Collection Methodology • アンチウイルス企業のアンチウイルスデータベースや ニュースリリースを調査 • マルウェアの統計を集めるため、パーソナルスパイウェ ア、グレーウェアは除外した • 3.2 Data Set • 2009年1月~2011年6月に検出されたiOS、Android、 Symbian 9.xのマルウェアの46個を使用 14 4.1 Current Incentives • 46のマルウェアを挙動毎に分類 • • • • • • • Exfiltrates user information(28) -> 4.1.2 Premium calls or SMS(24) -> 4.1.4 Sends SMS advertisement spam(8) -> 4.1.5 Novelty and amusement(6) -> 4.1.1 Exfiltrates user credentials(4) -> 4.1.3 Search engine optimization(1) -> 4.1.6 Ransom(1) -> 4.1.7 15 4.1.1 Novelty & Amusement • 目的 • イタズラ,愉快犯 • 深刻な影響なし • 減少傾向 • 利益追求型のマルウェアへ移行 •例 • IKEE • JailbreakされたiPhoneに感染 • ロック画面の背景を変更 • Smspacem • Androidに感染 • アドレス帳の連絡先から無作為にSMSメッセージを送信 http://www.f-secure.com/v-descs/worm_iphoneos_ikee.shtml 16 4.1.2 Selling User Information • 目的 • モバイルOSのAPIで取得可能な情報の漏洩, 販売 • 取得可能データ • ユーザの位置情報 • ブラウザやダウンロードの履歴 • インストールされているアプリケーションリスト • IMEI(一意のデバイス識別子) • 盗んだ端末のIMEIがブラックリスト入り →漏洩された有効なIMEIに偽装 • 連絡先リスト • 闇市場で$0.33~$40/MBで取引(2008年現在) • 防衛策 • モバイルOSがグローバルなユニークデバイスIDを与える • AndroidとSymbianのアプリケーションのパーミッションを制限する 17 4.1.3 Stealing User Credentials -1• 目的 • テキスト文書で保存されたログイン情報や決済情報漏洩 • 闇市場における価値 (2008年現在) • 銀行口座の認証情報 : $10〜$1000 • クレジットカード番号 : $0.10〜$25 • メールアカウントのパスワード : $4〜$30 • 例:SpitmoとZeusMitmo • 金融機関の2段階認証をターゲット • ユーザー名とパスワードを感染デバイスからキャプチャ • 後に受信したすべてのSMSをリモートサーバーに転送 →電子商取引の2つめの認証要素である「mTAN」を無効化 18 4.1.3 Stealing User Credentials -2• 防衛策 • 現状決定的な解決策なし • アプリケーション分離のメカニズムを強化 →ベンダーの努力が必要 将来的に増加し,セキュリティ研究の熱い分野に 19 4.1.4 Premium-Rate Calls And SMS -1• 目的 • Premium-Rate Call or SMSを発信させることでユーザに課金 させる • AndroidとSymbianを標的 • Premium-Rate Calls:「ダイヤルQ2」のようなもの • 有料で各種番組(情報)を利用できるサービス • Premium-Rate SMS:ダイヤルQ2のSMS版 ※バックグラウンド動作なため,料金請求時まで気づかない可能性 • 利用料 • 通話は1分あたり数ドル • SMSは,1メッセージあたり数ドル 20 4.1.4 Premium-Rate Calls And SMS -2• 実際の例: Geinimi • Androidに感染するボットの初例 • 悪意ある第三者による遠隔操作 →Premium-Rate SMSの送信 • 正規アプリにマルウェアを含むコードを混入 • 防衛策 • Premium-Rate SMS送信時のユーザ確認を徹底 21 4.1.5 SMS Spam • 目的 • 商業広告 • 拡散フィッシングリンク • ほとんどの国でSMSスパム送信は違法 • マルウェアを使用 • 侵入した端末からスパムを送信 • 電子メールより信憑性が高い • SMSの送信には電話番号を用いる • 防衛策 • アプリケーションが直接SMSを送信できないようにする • 組み込みのSMSメッセージングアプリケーションを提供 • OS提供のSMSメッセージの内容を表示するUI要素の埋め込み 22 4.1.6 Search Engine Optimization • 目的 • 検索語句に対してクリックしたWebサイトのレートでランクが決定 →検索結果においてWebサイトのランク上げ • 特徴 • 検索エンジンに検索語句のWebリクエスト(クエリ) を送信 • 目標のWebサイトに対応した検索結果を不正に「クリック」 • 例: ADRD/ HongTouTou • 感染した端末のID情報をリモートホストに送信 • インターネットのサーチエンジンにクエリを投げる • 携帯からのブラウザリクエストを悪戯サイトに飛ばされる • 防衛策 • モバイルOSがリクエストを送信したアプリケーションを識別するメタ データを追加する 23 4.1.7 Ransom • 目的 • 身代金の要求 • 実例:オランダのワーム • 勝手に壁紙を変更 • 「おまえのiPhoneをハッキングした」 • 「私は現在、おまえの全ファイルにアクセスできる」 • 身代金の要求メッセージを表示 • 「解決方法を教えて欲しければ5ユーロを払え」 • 「払わないならそれで結構だが、 おまえのiPhoneを使って他人が どんなことでもできてしまうことを忘れるな」 http://www.itmedia.co.jp/ news/articles/0911/04/news028.html 24 4.2 Future Incentives • 将来モバイルで流行ると予想されるマルウェア • • • • • • • Advertising Click Fraud -> 4.2.1 Invasive Advertising -> 4.2.2 In-Application Billing Fraud -> 4.2.3 Governments -> 4.2.4 E-Mail Spam -> 4.2.5 Distributed Denial of Service -> 4.2.6 NFC and Credit Cards -> 4.2.7 25 4.2.1 Advertising Click Fraud 不正 クリック 競合他社などの 悪意を持った第三者 クリック課金広告 故意に何度もクリックして 不正に広告主に課金させる • 目的 • 競合相手の広告費を上げる • 利益を奪う 競合相手に広告を出すことをやめさせる 26 4.2.2 Invasive Advertising サイトにアクセス スパムメール www 不正サイト マルウェアをダウンロードしてしまう 広告がポップアップされる • 目的 • 違法な商品やサービスの宣伝 • 正式な広告の利益を奪う 27 4.2.3 In-Application Billing Fraud ユーザ アプリ課金 アプリを得る マルウェアを感染させる アプリ課金時に 個人情報流失 攻撃者 • フィッシング詐欺,ソーシャルエンジニアリングに 利用される可能性がある 28 4.2.4 Governments 政府 企業と協力して公開される 公式アプリ 政府用ハッキングツール • 目的 • 犯罪容疑者や反政府派の監視,国民の動向調査 • 監視できる内容 • GPS情報,録音,録画,盗聴,SMSメッセージ 29 4.2.5 E-Mail Spam • スパムメール送信方法 • ログイン中のメールアカウントを利用する • 25番portが許可されている場合,SMTP接続をする • オープンプロキシ経由で送信する 30 4.2.6 Distributed Denial of Service • 目的 • 金銭要求,愉快犯,企業間のサイバー戦争 • 動的なIPアドレスを利用する携帯電話も標的になる • 帯域幅が狭い • 電池容量が小さい 小さな攻撃で問題になる 31 4.2.7 NFC and Credit Cards -1個人情報 近くの別のNFCデバイス へ送信する • 防衛策 • 通信距離は短いため,盗聴には近距離に近づく必要がある • データセキュリティはOS上で実装する http://www.ffri.jp/assets/files/monthly_research/MR201301_NFC_Security.pdf#search='NFC+セキュリティ' 32 5 MALWARE DETECTION • マルウェアを識別方法を検討する • Pemission -> 5.1 • アクセス許可数による識別 • 特定のアクセス許可による識別 • Application Review -> 5.2 • iOS • Symbian 33 5.1 Permission -1• アクセス許可数がマルウェア識別に有効かを調査 • 956個の公式アプリと11個の マルウェアで調査 • マルウェアを検出することは できた • しかし公式アプリも同様に検 出されてしまう • アクセス許可数での識別 は難しい 34 5.1 Permission -2• 特定のアクセス許可がマルウェア識別に有効かを調査 • SMSへのアクセス許可要求 • マルウェア(11個):73% • 公式アプリ(956個):4% • IMEIへのアクセス許可要求 • マルウェア(11個):73% • 公式アプリ(956個):33% • 他の一般的なアクセス許可 • 謝り率が高いため識別は難しい • 複数のアクセス許可の組み合わせ • アクセス許可のセットで識別することで謝り率を下げる • 一部のアクセス許可の有効性を示した • アクセス許可のセットの利用を提案した 35 5.2 Application Review • レビューがマルウェア識別に有効かを調査 • iOS • AppleはApp Storeにグレーウェアを誤って公開してしまった • Symbian • マルウェア24個をSymbian署名に通した • 5個が署名されてしまった • 2個は他のマルウェアと協力することで署名プロセスを回避した • レビューはマルウェア識別に十分な効果を発揮して いない 36 6. ROOT EXPLOITS • Root exploits • Android → Root化 • iOS → 脱獄(jailbreaks) マルウェア作成者 公開情報を利用 マルウェアを作成 Root exploitsの発見・公開 Root化・脱獄して 携帯をカスタマイズ 新モデル発売 スマートフォンティンカラー スマートフォン所有者 ソフトウェアアップデート 37 6.1 Incentives • スマートフォン所有者の不満 • • • • • アプリが公式ストアからのみインストール可能 完全なシステムバックアップが出来ない テザリングの制限・禁止 キャリア固有の削除出来ないアプリ OSバージョンの制限 などなど • Root権限を得て自由にカスタマイズしたい! Root exploitsだ! 38 6.2 Root Exploit Availability • Root exploitsの実態調査 • 利用可能な期間(実線): • 存在しない平均日数: • リリース日以前から存在: 74% 5.2日 9バージョン(/24) 販売開始 アップデート 39 6.3 Discussion -1• マルウェア作成の手助けをしないようにしよう! マルウェア作成者 アンロックブート ローダ付き Root exploitsの発見・公開 公開情報を利用 ROOT EXPLOITSの発見 マルウェアを作成 Root化・脱獄して アンロックブートローダで 携帯をカスタマイズ 新モデル発売 スマートフォンティンカラー スマートフォン所有者 ソフトウェアアップデート 40 6.3 Discussion -2• Root exploits済み携帯に迫る危険 • 脱獄済みiOSのバックドアを狙った攻撃(4種) • Root化済みAndroidのセキュリティエラーを狙った攻撃 (1種) • Root exploits済み携帯 • Android:15~20% • iPhone: 6% 41 7. RELATED WORK -1• モバイルマルウェアに関する研究 • 2004年: 使用に関する予測 • 2005-2008年: 使用・動機の議論 • 2009年: 動機・対象・メカニズムに関する調査 • 闇市場 • 2007年: IRC(チャット)のログを収集 価格とデータとの関係を調査 42 7. RELATED WORK -2• セルラーネットワークにおけるDDoS攻撃 • コールセンター・GSM基地局に大量発信 • 同じ市外局番の地域 • 携帯電話750台同時 • サーバにデータメッセージを送る 93%の携帯が サービス低下 • 不正な形式のSMSメッセージ • ネットワークから切り離す • 同じ時間に再接続を繰り返す 電話を クラッシュさせる 43 7. RELATED WORK -3• 他のプラットホーム • • • • Windows Mobile Windows Phone 7 Palm BlackBerry などなど http://www.gartner.com/newsroom/id/2665715 44 8. CONCLUSION • 脅威モデルとセキュリティ対策の方針 • マルウェアの紹介と防衛策 • マルウェアの識別方法の検討 • Root exploitsについて • 関連研究 45 モバイルマルウェアの動向調査 グループA 荒木 雅斗 岡本 洋平 中尾 仁 前田 翔平