多機能化が進み、セキュリティリスクが高まっている携帯電話。そのリスクに含まれるほとんどが利用者にかかわるものばかりです。
前回のテーマ「情報家電」に続き、今回は「携帯電話」における情報セキュリティについて解説します。
なお、調査・分析手法については、前回の1ページ目を参照してください。
1980年代に国内で初めて携帯電話が登場してから20年近く経過し、国内で約1億台もの携帯電話が利用されるようになっています。これは、ほぼ国民1人当たり1台の計算となります。特に2000年以降、携帯電話は本来の役割である通話機能以外にさまざまな機能を備えるようになり、複雑化・高機能化の一途をたどっています。
以下に、これまで携帯電話に搭載された機能の中で代表的なものを示します。
また、携帯電話内部にICカードを内蔵することで、以下のような便利な機能も実現されています。
上記のような機能のほとんどは、従来ほかの機器で実現されていたものや既存のサービス・機能が電子化されたものです。それらの多くが1台の携帯電話に集約され、携帯電話を1台持ち歩くだけでさまざまなことが実現できるようになりました。また、それに伴って携帯電話はその内部に多くの個人情報やプライバシー情報、さらには金銭情報まで含むようになっています。このことから、高機能化が進むにつれて携帯電話のセキュリティリスクが非常に高まっているといえます。また、携帯電話が複雑化することより引き起こされるセキュリティ上の脅威も考えられます。
以下は、携帯電話においてセキュリティ問題が発生した事例です。
携帯電話に搭載されたある汎用OSに感染するウイルスが多数発見された。それらの中には、携帯電話に搭載されたBluetooth機能を通じて感染を広げ、システムのダウンを引き起こす悪質なものも存在した……。
つまり、利用者が携帯電話を安心して使用するためには、“情報セキュリティの確保”が必要不可欠なのです。
3G(第3世代)の携帯電話サービスが開始されて以降、3Gおよび3.5G(第3.5世代)の携帯電話の普及が急速に進み、現在では携帯電話全利用者の6割以上を占めるほどにまで広がっています(現在、新しく発売されている携帯電話のほとんどが3G以降のものです)。
そこで、本連載の題材でもあるIPAの「組込みシステムの脅威と対策に関するセキュリティ技術マップの調査報告書」では、分析を単純化するために市場の多くを占めている「携帯電話事業者より販売されている3G以降の携帯電話」に限定しています(注)。
3G以降の携帯電話では、SIM(Subscriber Identity Module)カードと呼ばれるICカードが必要です。3Gより前の携帯電話の場合、携帯電話そのものに電話番号が割り当てられ、埋め込まれていましたが、3G以降の携帯電話の場合、電話番号はSIMカードに格納されています。利用者は、このSIMカードをほかの携帯電話に差し替えることで、同じ電話番号のまま携帯電話本体を簡単に変更できます。
ご存じの方も多いとは思いますが、海外の携帯電話事業者は携帯電話機本体の販売を行わず、利用者に対してSIMカードのみを発行します。そして、利用者自身が電器店などで各携帯電話製造メーカーから販売されている携帯電話機のうち好みの機種を購入して、これにSIMカードを差し込んで利用しています。
3G以降の携帯電話は、常に携帯電話機本体とSIMカードがセットで使用されるため、今回の調査範囲ではこのSIMカード上に格納されている情報についても“携帯電話において守るべき情報”として取り扱うことにしています。
次に、携帯電話のシステム構成、各構成要素に含まれる情報、情報とライフサイクルの関係などを見ていきます。
図1と表1は、大まかな携帯電話の構成を示したものです。
構成要素 | 説明 | |
---|---|---|
利用者 | 携帯電話の所有者 | |
記録メディア | コンテンツデータや利用者情報が記録されているリムーバブルメディア | |
SIMカード | 利用者を識別するための情報が格納されており、3G以降の携帯電話に利用されている。SIMカードはICカードであるため、一般的なICカードの機能としての脅威とその対策については「組込みシステムの脅威と対策に関するセキュリティ技術マップの調査報告書」のICカードの章を参照のこと。ここでは、SIMカードに格納される携帯電話固有の情報に関する脅威とその対策について扱う。USIM(Universal SIM)という場合もある | |
携帯電話 | 組み込みシステム本体 | |
ネットワーク | 携帯電話がリモートに配置されたサーバを接続する回線、または網 | |
サーバ | 携帯電話とその利用者に対して、各種サービスなどを提供するためのサーバ。携帯電話メーカーが設置する場合もあれば、コンテンツ配信事業者やオンラインショッピング事業者が設置する場合などがある | |
表1 携帯電話の構成要素と説明 |
続いて、携帯電話本体の内部構成の一例を図2と表2に示します。
構成要素 | 説明 | |
---|---|---|
アンテナ | 電波を受信するためのアンテナ | |
通信用CPU(Central Processing Unit) | 無線通信の変復調を行う専用CPU。機種によっては通信の処理だけでなく、各種アプリケーションの処理も行う場合もある | |
アプリ用CPU | 利用者の操作や各種アプリケーションを処理するためのCPU。携帯電話の高機能化とともに高性能なCPUになりつつある。機種によっては、存在せず通信用CPUと一体となっている場合もある | |
メインメモリ | 一時的な記憶領域として使用されるワークエリア | |
内部不揮発メモリ | 携帯電話のソフトウェアや端末番号など端末固有の情報が格納される | |
外部不揮発メモリ | 利用者の入力した設定やアプリケーションの情報、コンテンツデータなどが格納される | |
外部I/O | ほかの機器と連携するための各種インターフェイス。USB、無線LAN(例えば、Wi-Fi)、Bluetooth、赤外線、FeliCaなどが存在する。3G携帯については、さらにSIMインターフェイスがあり、SIMカードが接続されている。SIMカードには顧客識別番号が格納されている | |
カメラ | 写真を撮るための装置 | |
リモコン | 情報家電を操作するためのコントローラ。情報家電の付属品であるため、ここでは情報家電の一部として扱う | |
LCD(Liquid Crystal Display) 有機EL(Electrolu-minescence) |
画面に各種状態やコンテンツを表示する出力部 | |
キーボード ボタン類 |
携帯電話の利用者が携帯電話を操作するための入力部 | |
電源回路 | 電力を供給する | |
表2 携帯電話本体の内部構成要素と説明 |
図2と表2からも分かるとおり、携帯電話の内部構成はPCを構成する要素が多く含まれており、携帯電話がPC化していることを如実に表しています。一方で、非常に精密な機器であり内部がブラックボックス化されているため、PCとは異なりセキュリティ上の問題が発生した場合、利用者が自分で対応することが困難といえます。また、PCのように業界による内部構成の標準化も行われていませんので、メーカーごと、機種ごと、携帯電話事業者ごとに情報セキュリティの対策が必要になります。
Copyright © ITmedia, Inc. All Rights Reserved.