業務用Android端末の管理
AndroidがiPhoneやiPadに比べ種類豊富で大きさも多様なので選択肢が幅広いです。業務でAndroid端末を活用するなら、確実かつ安心できる端末管理が必要です。個人レベルで予防できる管理や企業の管理責任者が行えるAndroid端末管理について述べます。
Android端末の危険要因
偽造アプリ
Androidアプリはapkファイルです。そしてこのapkファイルを抜き出すことは難しくありません。
例えば、ある銀行アプリがあるとしましょう。悪意をもった人なら、この銀行アプリからapkファイルを抜き出した後に暗号化されたmanifestファイル(権限設定情報ファイル)を復号すれば権限が変えられます。権限が変えられた偽造された銀行アプリをストアに公開、インストールした人はそのときからユーザーのパスワード等個人情報を盗み取られてしまいます。
GooglePlayでアプリを登録する際、ストア側の審査がないため偽造されたものかどうかを判別しません。つまり、アプリ名やスクリーンショット、説明情報をうまく飾りつければ簡単にユーザーを騙す事ができるわけです。
データベースを抜き出す
悪性コードはAndroid端末のルート権限を奪い取ります。Android端末の構造は、最上部にApplication、その下にApplication Framework、さらにその下にNative Library (OpenGLなど)、そして、Android RunTime (Core Library)とDalviK (VMカスタマイズ)、その下にLinux Kernelがあります。
Linux Kernelでアプリの実行、一つのアプリケーションで問題を起しても他のアプリケーションへの悪影響を阻止するSandbox、Kernelのバグやセキュリティの弱点を利用してルート権限を取得した人はKernelとCoreの一部を手に入れることができ、保護領域のAPI(カメラ、GPS、電話、ネットワーク、Bluetooth等)のコントロールが可能となります。ルート権限取得 > 保護されるAPIへの接近が可能 > チャートのやり取り内容や発着信履歴、カメラ、位置情報、電話帳のデータ等を抜き出すことができます。
Wi-Fi環境でパケット盗み取る
ルート権限を取得さえすれば、バイスのパケットをキャプチャーできるプログラムがインストールできます。パケット情報は画像破片かバイナリーコードでできているので、暗号化されていないデータは情報を抜き出した人によって画像破片の解読、コード分析ができます。
また、嘘のアクセスポイントを開けて接続を誘導する手口もあります。
個人レベルでとれるAndroidの端末管理
前述で思わず心重く感じる方もいるか分かりませんが、個人レベルでも安全に管理する方法があります。
まず、アプリをインストールする際、そのアプリの権限をよく確認してください。わたしもそうですが、大概の人たちはあまり意識せずに同意してインストールする場合が多いと思いますが、石橋を叩いて渡る心境で個人情報へのアクセス権限を要求する内容があったら止めた方が良いでしょう。
また、よく知られていないフリーアクセスポイントへの接続は避けるべきです。そして、アンチウィルスアプリを入れて定期検査およびアップデートをこまめに行うことです。中にはウィルス対策アプリを装った悪性アプリもありますのでこれもまた要注意です。
最後に勧められる方法は、端末の暗号化+パスコードのセキュリティ設定です。Android OS3.0以上からはデータの暗号化設定が可能となります。端末暗号化を設定するのに1時間程かかるのと、設定後には端末をリセットしない限り元に戻せなくなりますが、紛失や盗難時に端末内のデータを守る最高の方法です。
企業管理責任者の立場でとれるAndroidの端末管理
個人持ちのAndroid端末を仕事で活用したり、会社で導入してメールや電話帳、データ等を入れて利用したりするのなら必ず対策を考えなければなりません。社員個人個人が前述のような対策をとってくれればベストだが実際そこまで望めないのが現実です。
多くのMDM製品が争っている理由がここにあります。管理者が社員たちの端末を管理するのがMDMだが、Android管理においては提供するメーカー毎に制御機能が若干異なります。むしろiOSの場合はほとんどのMDMで同一の管理機能を提供します。
それは、GoogleはAppleより充実で細かく管理できる機能を提供していないからです。Appleでは端末管理制御Payloadが定期的にアップデートされ、これらを利用すれば十分に安全な企業の端末管理ができます。
そういう意味でAndroidはまだ十分ではありません。だからメーカー別に各自固有—のコードで制御機能も多少違う事があります。
MDM MoDeMの場合、基本的なAndroid端末管理以外にも(Android MDMページご参照)管理者がリモートでウィルスチェックを一斉に実行させることができるMobile Security Pro(アンチウィルスソフト)をオプションで提供しています。
予約検査機能も備えていて例えば、朝8時に全端末にウィルスチェックを実行すると、管理者に検知結果をレポートしてくれます。このように社員個人が怠りやすいウィルス検査を代行することで感染を防ぐことができます。
また、前述した端末の暗号化を管理者が強制することができます。遠隔で直接端末を暗号化することは不可能ですが、端末上にアラートを繰り返し表示させてユーザー操作を促します。また、端末暗号化が設定されたかどうかを管理コンソールで確認することができます。
