【VB 2001 Vol.3】Java対応携帯電話が安全とは言い切れない──シマンテック星澤氏

2001年09月30日 00時51分更新

文● 編集部　佐々木千之

チェコのプラハで、コンピューターウイルスに関する国際会議“Virus Bulletin(ウイルスブリテン) 2001”の2日目(現地時間28日)、(株)シマンテックの星澤裕二氏が、日本人初の講演者として発表を行なった。


VB 2001で発表するシマンテックの星澤裕二氏

星澤氏の発表は“Are Java-Enabled Mobile Phones Secure?”と題したもので、Java対応携帯電話はウイルスに対してはたして安全なのか、という内容だった。星澤氏はまず、日本におけるインターネットに接続できる携帯電話の普及状況や、いかに多くのユーザーがインターネットを利用しているかといったことから説明した。今回のVirus Bulletinではヨーロッパからの参加者が多く、また携帯電話については専門外のため、星澤氏が日本から持ってきたNTTドコモの503iで着信メロディー(※1)を聴かせると、会場からは驚くとともにあきれたようなため息が漏れていた。

※1 アメリカも含め、ヨーロッパの携帯電話の着信音は数年前の日本の機種のように、ブザーによる単音階のものがほとんどであり、今の日本の携帯電話のような複雑な和音は出せない。


インターネットに接続するワイヤレスユーザーの割合。インターネット対応携帯電話の普及により、日本が世界の80％を占めている

星澤氏は、インターネット接続可能な携帯電話の説明に続いて、今年初めに登場したJava対応携帯電話で利用しているJava言語と、各携帯電話キャリアーのJavaアプリケーションのダウンロードと実行の仕組みなどについて説明した後、これまでにJava対応携帯電話で発見された問題点について報告した。

取り上げられたのは、

『P503i』で、ある設定のもとでウェブサイトにアクセスして画像を表示しようとした際に、電源がオフになり一部のデータが失われる
『P503i』で4月に作成されたJavaアプレット(iアプリ)をダウンロードできない
『SO503i』で、本来iアプリごとに独立して確保され、ほかのiアプリからはアクセスできないはずの“スクラッチパッド”と呼ばれるワークエリアの内容が、iアプリのバージョンアップを行なう際に、ほかのiアプリのワークエリアが見えてしまう
ある特殊なHTMLタグを含むEメールを受信すると、特定の番号に電話したり、自動的にメールを送信したりする

という4種類の問題点。

1.～3.は各機種のプログラムのバグによるもので、4.は一部のiモード携帯電話がメニューにもHTMLを利用しているために、メニューで可能な操作が(特殊な)HTMLを書くことによってできてしまうことによるもの(※2)という。

※2 この問題点は、Java対応携帯電話に限った問題ではなく、iモード携帯電話であれば起こりうる。

星澤氏によると、これまではJavaアプリケーション自身が問題となるような動作をするという事例は起きていないが、携帯電話に実装されているJava環境は、フルバージョンのJavaではなく“J2ME(Java2 Micro Edition)”といったサブセットであり、セキュリティーホールが発見される可能性もある。「プログラムが実行できるなら、安全でないプログラムを実行することもできるはず」という。そして、今後多くの機種が登場すれば、それだけセキュリティーに関わるバグや、セキュリティーホールが発覚する可能性は高くなるという。

これらの危険を防ぐ手段としては、携帯電話キャリアーによるネットワークレベルで何らかの監視をする必要があり、さらに将来は端末ごとにウイルス対策ソフトを用意することも必要ではないかという。


星澤氏の発表のまとめ

星澤氏は最後に「Java対応携帯電話は安全だと思いますか?」と聴衆に問いかけ「私は必ずしもそうだとは思えません」と述べて発表を締めくくった。

発表後に星澤氏に直接お話を伺う機会を得たので、Java対応携帯電話の問題点について、もう少し詳しく聞いた。

[編集部] Java言語自身は安全だというイメージを持っていたのですが。

[星澤氏] 確かにJavaはセキュリティー面に気を付けて作られましたが、利用が広がるにつれてバージョンアップする際に多くの機能が追加され、制限はゆるくなっています。セキュリティーホールも見つかっており、絶対に安全とは言えません。

[編集部] Java対応携帯電話独自の問題があれば教えてください。

[星澤氏] NTTドコモは、各携帯電話メーカーがJavaを実装する際に、各機種ごとに独自APIを拡張できるようにしています。たとえばある機種ではバイブレーターを動かせるといったような機能が追加できるわけです。このため、Javaアプリケーションといっても、各機種専用のものになっています。悪意がなくとも、ある機種用に書かれたアプリケーションがほかの機種では問題となる、といった可能性も考えられるのです。バグの混入やセキュリティーホールの問題もあり、現状では、Java対応携帯電話の種類が増えるほど危険性は増すと考えられます。


星澤氏は日本ではイベントや企業向け講習会などで多くの講演を行なっているが、英語での発表は今回が初めてという

[編集部] NTTドコモは現在のiアプリのプログラム容量制限を10KBから30KBに増やそうとしていますが、これは危険が増えることになるのでしょうか。

[星澤氏] 容量が増えるからといって、それ自体が危険になるということはないでしょう。

[編集部] これから予想される携帯電話ウイルスというようなものはありますか。

[星澤氏] パソコンと連携したプログラムが考えられます。携帯電話から携帯電話へ感染するというようなことは難しいかもしれませんが、最初は無害なアプリケーションとして配布し、広まったところで何らかの良くない動作をするアプリケーションにバージョンアップするということは可能ですから。

星澤氏はここ数年Virus Bulletinに参加しているものの、発表者として応募したのは今回が初めてで、1回目の応募で即発表決定ということになったのだそうだ。NTTドコモが米国やヨーロッパの携帯電話キャリアーと提携して、iモードサービスを提供するとアナウンスしているほか、iモードに限らず高機能な携帯電話が今後全世界的に普及すると見られており、現在世界で唯一Java対応携帯電話が市場投入されている日本からの発表ということで、普及に先駆けて採用されたと思われる。

携帯電話がインターネットに接続できるようになり、パソコンに近い機能を搭載していくにつれ、セキュリティー面の危険性は大きくなってきている。日本でインターネット携帯電話/Java対応携帯電話が普及しているとはいっても、セキュリティーに関するサービスが進んでいるとは言えない状況だ。携帯電話がインフラとして非常に重要なものになっている現在、セキュリティーに関する知識の啓蒙など、キャリアーが何らかの行動を起こす必要があるように感じられた。

ツイートする

カテゴリートップへ