この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト
「We Live Security」の記事を基に、日本向けの解説を加えて編集したものです。
A
あります。それどころか、増加の一途をたどっています。攻撃者はいつもユーザー数の多い端末を狙います。Windows OSが狙われる理由はその一点に尽きます。そして今、Android OSが最大の標的となっているのは、ユーザー数が多いからです。もちろんiOSも以前と比べれば段違いに危険性が増しています。
今では誰もが当たり前にスマートフォンを利用していますが、ここに至るまでには、それなりの長い歴史があります。セキュリティを考えるには、この歴史を振り返る必要があります。
無線通信を利用した電話の最初の形は、「自動車電話」から始まりました。製品の開発としては1946年には実用化の第一歩を踏み出していたのですが、実際に普及するのは1980年代ごろまでかかりました。また国内では、自動車の電源を利用しない「ショルダーホン」が1985年に登場しますが、これは重さが3kgもありました。
1987年になって初めて「携帯電話」と名の付くものが登場しますが、これも重さは900gありました。そのため軽量化などが進み、実際に普及したのは1990年代に入ってからです。そしてようやく、2000年代後半からスマートフォンが登場します。私たちはついつい、それまでの携帯電話とスマートフォンを同一視しますが、セキュリティの面から見ると、両者は全くの別物と考えられます。
つまり、従来の(国内の)携帯電話はOSが「TRON」系列であり、海外の携帯電話(主にSymbian OS)とは全く異なっていたのです。また、インターネット接続やメールの送受信が可能だったものの、表示の制限などを行っていたため、マルウェア攻撃はほぼ皆無でした。
一方、スマートフォンはiOSやAndroid OSが主流であり、国内も海外も共通しています。そのために、これまではなじみの薄かったマルウェア攻撃に突然さらされるようになったのです。
そしてもっと言えば、IoTやM2M機器が増え始めつつある中、ネットワークに接続される「スマート」家電や「スマート」カーなど、「スマート」の付くものはいずれもWindows OSやLinux OSなどが使われていますので、スマートフォンと同じように攻撃対象となるのは明白で、今後セキュリティ対策が心配されているのです。
より危険性が増している理由
このようにスマートフォンが、かつての携帯電話よりもマルウェア攻撃の可能性が飛躍的に多い理由は、一言でまとめれば、OSが変わったからなのです。しかもそれだけでなく、スマートフォン(タブレットも含む)のデータ通信量が途方もなく増えたことも大きな一因となっています。
私たちは日々スマートフォンを通じて、自宅でも職場でもさまざまなデータ(個人に関するもの企業に関するものいずれも含む)を生成し、保存し、アクセスし、共有するようになりました。一方サイバー犯罪者は、常に情報や金銭がより得られるところに目が向いています。つまり、これだけスマートフォンが普及し、各人の通信量が増えているということは、盗むに値する情報も増えているということを意味しており、さらには、その盗んだ情報が今まで以上に高い値で売れるようになっているということなのです。
特に注意しなければならないのは、職場においてスマートフォン(やタブレット)を利用している場合です。いわゆる「BYOD=私物持ち込み」(Bring Your Own Device)の対象として、大半の組織では特に利用を禁じていません。
USBメモリならば、会社のコンピューターの情報をコピーして持ち運んでいる途中に紛失してしまうというリスクがはっきりと分かると思いますが、それと同じように、スマートフォンのデータも危険にさらされています。例えば、仕事のメールをスマートフォンでも読めるように転送したり、スケジューラを共有していたりすると、そうしたデータが盗まれる恐れがあることに、私たちは十分注意しなければなりません。
日々増え続けるモバイル機器へのサイバー攻撃
スマートフォンをはじめとしたモバイル機へのサイバー攻撃は、もはや、たまに発生するような類のものではなく、すでにあらゆる種類の攻撃が試されています。ほんの一例にすぎませんが、 「Masque」 「Freak」 「Stagefright」 「CORED」 「YiSpecter」 「Wirelurker」 ―これらのアプリは単に脆弱性が発見されたというだけではなく、実際にスマートフォンを襲い、データや金銭を奪い取ろうとしました。もともと、これらのアプリの多くは膨大な量の情報を収集してクラウド上に保存しており、非常にプライバシー保護が不安視されていました。この懸念は、アップル社のiCloudを使っている複数の著名人のプライベート画像がオンライン上に漏えいしたことで問題がはっきりしました。その後アップルがセキュリティを強化したことは言うまでもありません。
「今なおモバイル機器からのデータ流出の原因は主に二つあり、第一に物理的な盗難や紛失であり、第二にアプリの誤用であることに変わりはない。変わったのは、結果として起こる被害の甚大さだ」と指摘するのは、ガートナー社の研究ディレクターであるディオニシオ・ズメール(Dionisio Zumerle)です。
「例えば、健康ケア業界では、医療従事者たちがタブレットを使って患者のさまざまな個人情報をチェックしている。金融業界では、ブローカーたちがスマートフォンを使って大切な取引情報を交換し合っている」
すなわち、なぜスマートフォンなどのモバイル機器が狙われるのか、その理由は単純で、利益の追求という経済原則なのです。モバイル機器を攻撃すれば、より多くのマシンを感染させることができ、その結果、個人ユーザーを直接攻撃することによって、または、ブラックマーケットを通じて個人情報を売ることによって、さらにサイバー攻撃者は稼ぐことができるようになるからなのです。
モバイル機器自体にも想像以上に膨大な情報が蓄えられていますが、それのみならず、クラウドや他のコンピューターなど、他のサービスと連動しており、それらの情報にも被害が及ぶのだということを、決して忘れてはならないでしょう。
スマートフォンのリスクに企業はどう対応するか
職場によっては個人所有のモバイル機器の使用を禁止にしているところもあります。他方では、スタッフは会社から支給された機器を使うべきだという主張もあります。この両者はいずれにせよ、場所に応じてセキュリティ上の制限は必要である、という前提です。こうした方針は、かなり激しい議論が闘わされています。
場所に応じた保安対策を
企業活動におけるモバイル機器の導入と情報セキュリティに詳しい専門家によれば、こうした場所によって制限を設ける処置は、サイバー犯罪との闘いにおいては不可欠なことです。しかし、そうするためにはスタッフの同意が必要であり、モバイル機器ポリシーに署名してもらわなければなりません。
しかもこうした動向は、新しい技術を導入するに当たっては、ほぼ不可避なことであり、必然的な現象と捉えるべきでしょう。セキュリティ業界団体ISACAの前副代表であるロルフ・フォン・ロージングが2013年の「EuroCACS」という会議でITを専門とする観衆の前で予測したように、モバイルの脅威は年を追うごとにより複雑になり対処するのが難しくなっています。たとえそうであったとしても、常にどのようなリスクも低減できるように率先して行動していかねばなりません。
こうした事態において、セキュリティの専門家であれば誰でも、まず、モバイル・セキュリティ・ソリューションの利用を勧めます。そして、定期的にOSやアプリのアップデートを実施すること、さらに、パスワードに安易な文字列を使用せずできるだけ複雑で人に知られにくいものを用意すること、そして、疑わしいメールやSNSのリンクに注意を払うこと、こうした対策をしっかりと行うことに尽きます。
サイバー犯罪者が全てのモバイル機器ユーザーを標的にしているとはいえ、結局は、その中でも脆弱性を放置するようなユーザーが狙われている以上、最終的には、企業でも個人でも対策は変わることはなく、一人ひとりがしっかりと対策を行い、注意を払うことが大切です。
脅威が世界中に広がる一方で、機器やデータの保護はますます困難になっています。しかしそれでも、今日のデジタル世界においては、対策は重要です。こうした動きに無関心であることが、危険を増長させることにつながるからです。