Android機器をボット化するマルウェアの存在有無が論争の的に

　Microsoftとセキュリティ企業Sophosの研究者たちは、マルウェアに感染したAndroid携帯によって構成されたボットネットがYahoo Mailのアカウントを通じてスパムメールを送信していると確信しているものの、Googleやモバイルセキュリティ企業Lookoutは、他の説明も考えられると主張している。

　MicrosoftにおいてForefront Online Securityを担当しているプログラムマネージャーのTerry Zink氏は米国時間7日3日、同社ブログへの投稿において、以下のようなメッセージID（Message-ID）のスパムを複数発見したと述べている。

　"<1341147286.19774.androidMobile@web140302.mail.bf1.yahoo.com>."

　その後、SophosのChester Wisniewski氏が7月5日に、同社ブログへの投稿のなかで「Androidユーザーは、有償アプリの海賊版を入手する際に、トロイの木馬が仕込まれたものをダウンロードしてしまった可能性が高い。われわれが分析したサンプルは、アルゼンチンやウクライナ、パキスタン、ヨルダン、ロシアから送信されていた。たいていのAndroidマルウェアがGoogle Playからではなく、地元の『非公式な』ダウンロードサイトからダウンロードされていることを考えた場合、発信元がこのように広範囲に広がっているのは異例だと言える」と述べている。

　Zink氏は7月5日、その後のブログ投稿において、スパムメールのヘッダ情報を改ざんすれば、Android機器からスパムが発信されているかのように見せかけることも可能だという点を認めている。

　Zink氏は「確かに、マルウェアに感染してボット化したPCをYahoo Mailに接続させ、Yahoo本来のメッセージIDをAndroid機器のメッセージIDで置き換えたうえで、メール本文の最後に『Yahoo Mail for Android』という署名を追加することで、スパムの発信元をAndroid機器に見せかけるという手の込んだ策をとることも可能だ」と述べつつも、「その一方で、Android機器のマルウェアが増加してきており、実際のところスパマーにとって普及の進んだAndroid機器は、悪用する十分な動機付けが与えられたプラットフォームとなっている。こういったメッセージの発信元がAndroid機器であるかのように見えるというのは、実際にAndroid機器が発信元となっているためだ」とも述べている。

　Googleの広報担当者は「Androidのボットネットが存在するという主張を裏付ける証拠は出てきていない。われわれの分析によると、スパマーは感染したコンピュータを使用しており、彼らの利用している電子メールプラットフォームのアンチスパム機能を迂回するために、モバイル機器の署名を偽装していることが示唆されている」という声明を発表している。

　Lookoutの最高技術責任者（CTO）であるKevin Mahaffey氏は米CNETに対して「われわれの調査では、アクティブなボットネットが存在しているという徴候は見出されていない。さまざまな説明が可能であり、われわれはそういった説明を調査しているところだ」と述べているという。