スマートデバイスの普及とセキュリティ脅威

2023年8月10日

IPA(独立行政法人情報処理推進機構)が発行している情報セキュリティ白書では、前年に社会的影響が大きかったセキュリティ脅威の中から10大脅威を選出して同書に掲載している。
2013年版の(すなわちその前年である2012年の)10大脅威の第3位は「スマートデバイスを狙った悪意あるアプリの横行」であった。そして2014年版(2013年の)10大脅威の第6位も「悪意あるスマートフォンアプリ」である。
これは、順位の違いこそあれ、スマート・デバイス(スマートフォンやタブレット)が、個人ユースとしても、業務ユースとしても急速に普及拡大したことが背景にある。スマートデバイスの出荷台数は、2016年度には4,500万台を超えると予想されている。
2014年版情報セキュリティ白書によれば、「2013年9月にAndroid端末を狙った100万を超える不正アプリが確認されていたが、半年後の2014年3月にはその数が200万を超えた。その中でも端末内部に保存された個人情報の窃取を狙った不正アプリの出現が後を絶たない。2012年に出現したtheMovie系ウィルスでは1,000万件あまりの個人情報が流出した」
さらに、「2013年7月に容疑者が逮捕されたインシデントでは、3,700万件という大量の個人情報が流出した」とある。
この手口は、「セキュリティ対策アプリを装った不正アプリを端末にインストールさせ、端末内の電話帳データを抜き取るものであった。この不正アプリは”勝手サイト”と呼ばれる非公式サイトを通じて配信されていた」
不正アプリの数と流出した個人情報の件数が膨大なことに驚く。

Android端末の不正アプリは端末内の個人情報を窃取するタイプが主流であるが、2013年6月に端末所有者の金銭を直接狙う不正アプリが新たに発見された。これは端末を乗っ取り身代金を要求する”ランサムウェア(不正アプリをインストールすると端末がロックされ、ロックの解除と引き換えにお金を請求する画面が表示される)”である。
マカフィーが公表している、2015年に予測されるセキュリティ脅威のなかにも”ランサムウェア”がある。
「ランサムウェアがクラウドストレージサービスのデータを標的にする。感染端末からログイン情報を盗んで不正にログインし、クラウドのデータを勝手にロックするなどして、仮想通貨で支払えば解除するなどの脅迫をする。モバイル端末がさらに狙われる恐れもある」
さらに新たなモバイル攻撃のリスクにも言及している。
「モバイル端末を狙うマルウェア生成キットやソースコードの利用拡大で、攻撃が簡単になる。信頼性の低いアプリストアがモバイルマルウェアの主な供給源になり、オンライン広告を通じてマルウェアを拡散させたり、悪質サイトへリダイレクトさせたりする攻撃が広がる」と警告している。
端末不正アプリも多様化してきている。昨年(2014年)後半から「セクストーション(性的脅迫)」と呼ばれる手口が増えているとIPAなどが注意喚起している。
端末OSの違いによって、セキュリティ脅威の大きさに差はあるのだろうか?
iOSとAndroidを比較すると、不正アプリの数はAndroidの方が多い。だからといってiOSの方が安全というわけではない。公表されている脆弱性の数はiOSの方が多いそうである。
スマートフォンのセキュリティ脅威が増大していることから、幾つかの企業や団体がスマートフォン・セキュリティに関するガイドラインを公表している。
NPO日本ネットワークセキュリティ協会(JNSA)は、「スマートフォンの安全活用の進め ~スマートフォン利用ガイドライン~」を公表している。これは企業や団体組織がスマートフォンを導入する際に生じるセキュリティ課題とその対応策などを、情報システムの責任者や担当者向けにまとめたガイドラインである。
このガイドラインは、「BYOD (注)を推進する意図はないが、スマートフォンを業務で利用することを検討すると、BYODを認めざるを得なくなるケースもある」という前提で書かれている。
ガイドラインには、スマートフォン導入時のセキュリティ対策、組織のネットワークにスマートフォンを接続させる場合の考慮点、スマートフォンアプリの分類と考慮点、スマートフォンの紛失や盗難に備えた対策、スマートフォンを廃棄する際の留意点、などが記載されている。スマートフォンに内蔵されている記憶媒体(NAND型フラッシュメモリー)は、その性質上ソフトウェアによるデータの完全な消去が困難である。従って、スマートフォンを廃棄する場合は、物理的に破壊するなどの対応が必要になるケースがあると注意喚起している。

安心ネットづくり促進協議会が、ソーシャルメディアガイドラインのひな形である、「青少年に向けた「ソーシャルメディアガイドライン」づくりのすすめ」を公表している。ソーシャルメディアガイドラインのひな形には、学校向けのものと家庭向けのものがある。
どちらも倫理規範に関する内容となっており、例えば他人を誹謗中傷する投稿の禁止、人種、思想、信条等を差別する投稿の禁止、他人に成りすまして情報発信することの禁止、などが簡潔に記載されている。
これらガイドラインに限らず、この種の資料で多く指摘されているのがセキュリティに関するリテラシーの向上である。
特にスマートフォンは使用者が若年層に広がっていることから、情報セキュリティやネット利用に関するリテラシーの向上、そのための教育が特に重要である。


(注)BYOD:(Bring Your Own Device)従業員が個人保有の携帯端末を職場に持ち込み、それを業務に使用すること。

経営とITの話題
「経営とITの話題」のINDEX

経営とITの話題

Posted by kondo