クロスプラットフォーム化するモバイルマルウェア

　ロシアに本社を置くアンチウイルスベンダーのKaspersky Labは6月26日、同社の世界中のアナリストを集めたカンファレンス「Virus Analyst Summit」の第10回目をクロアチアで開催した。携帯電話調査グループシニアマルウェアアナリストのDenis Maslennikov氏は、携帯電話を狙ったマルウェアについて講演した。

Denis Maslennikov氏

　Maslennikov氏によれば、モバイルマルウェアは3つの段階で進化してきたという。2004年から2006年は最初にモバイルマルウェアが流行した期間だ。当時のマルウェアは、Cabirのように、携帯電話の脆弱性を実証することが主な目的だったという。

　2006年から2007年になると、Viver、HatiHatiなどのような新しいタイプのマルウェアが登場した。これらは愉快犯ではなく、金儲けを狙ったものだった。

　そして2008年から2009年はより高度なマルウェアが現れた。多様なOSがシェアを持ち始めたのに呼応し、マルウェアもクロスプラットフォームへの対応を開始したという。

　2006年8月時点では、Symbianを狙ったモバイルマルウェアが圧倒的に多く、全体の83％を占めていた。2位はWindows MobileとMicrosoft Intermediate Language（MSIL）でそれぞれ7％。残りの3％がJava 2 Micro Edition（J2ME）だった。具体的には全体で30種類、170亜種のモバイルマルウェアが見つかり、そのうちSymbia向けが25種類、165亜種、Windows MobileとMSIL向けが2種類、2亜種、J2MEが1種類、1亜種だった。

2006年8月の調査結果

　これが2009年6月には大きく変わる。Symbianを狙ったモバイルマルウェアは59％にまで下がり、その代わりにJ2MEが29％に上昇した。Windows Mobileは5％、MSILは3％、Sgoldは2％だった。

2009年6月の調査結果

　Maslennikov氏は3年間での変化として、次のような点を強調した。「2006年には全部で30種、170亜種のマルウェアが存在したが、この数字は現在、101種、483亜種にまで成長している。新しいウィルスの数は1.8倍にも増えた。J2MEをターゲットとしたクロスプラットフォーム化が進んでいるほか、Python向けのマルウェアも2％存在するなど、3年前にはなかった脅威が存在している」。

　2009年には異なった専門性を持つグループが現れ、マルウェアを作ったり、スパムをICQやソーシャルネットワーキングサービス（SNS）、メールでばらまいたりしているという。また有料情報サービスに電話をかけたり、感染した携帯電話からクレジット情報を許可なく転送したりするマルウェアも登場している。

　Porn-Dialerは2009年4月に存在が確認された。このマルウェアは自動的に起動し、ポルノサイトにアクセスするために有料情報サービスに電話をかける。オーストリアやブルガリアなど欧州地域を発端とし、現在ではナウルのような小さい国にも広がっているという。

　1月に中国で見つかったSymbian向けのワームはSMSを介して広がる。自身を「Sexy view」と名乗り、携帯電話から集めた情報をHTTP接続でアップロードする。Symbian S60の3rd editionを搭載したスマートフォンで動作し、公式なSymbianの認証を通ってしまうという。

　こうしたモバイルマルウェアを地域別にみると、欧州と中国はワーム、ロシアとインドネシアはTrojan SMSの被害が多い。インドではSMSフィッシングが盛んだ。下の地図を見た限りでは日本にはモバイルマルウェアの脅威がないようだ。

モバイルマルウェアの地域分布

　「モバイルマルウェアは金儲けの手段となっている。携帯電話サービスの種類と質が向上するにしたがって、モバイルマルウェアの種類と質も同様に向上した」とMaslennikov氏は述べる。日々賢くなるマルウェアから逃れるには黒電話の時代に戻るしかないとも語った。現在のところもっとも現実的で有効な手段は、携帯電話用アンチウィルスソフトを使って注意を働かせることだという。