シティグループは、無料のiPhoneアプリにセキュリティ上の欠陥があることを顧客に警告し、問題を修正した最新バージョンへのアップデートを促しました。シティグループによる今回の発見は、IT管理者がスマートフォンプラットフォーム上のデータ保護に取り組む中で、セキュリティ上の懸念事項の新たな境地を浮き彫りにしています。
銀行は最先端技術を駆使し、スマートフォンプラットフォーム向けのアプリを開発しています。これらのアプリは、ユーザーが口座残高の確認、送金、保留中の取引の確認、支払いなどを行えるようになっています。米国には推定1,800万人のモバイルバンキング顧客がおり、そのうちシティバンクは約80万人の顧客を抱えています。これは、バンク・オブ・アメリカなどの銀行に次ぐ第5位の規模です。
シティグループのiPhoneアプリにおけるセキュリティ上の懸念は、アプリ内のファイルに誤って機密情報が保存されていることに起因しています。口座番号、請求書の支払情報、セキュリティアクセスコードなどのデータはiPhoneに保存されており、後から攻撃者やその他の不正ユーザーによってアクセスされる可能性があります。
幸いなことに、シティグループは調査中にこの問題を積極的に発見しており、この欠陥によって顧客データが漏洩したとは考えていません。しかし、そもそもこの欠陥が存在していたという事実は、スマートフォンやタブレットなどのモバイルデバイス上のデータを保護するためにIT管理者が対処しなければならないセキュリティ上の懸念が新たな時代を迎えていることを物語っています。
アプリは単なるソフトウェアの一種です。クラッシュしたり、実行中のデバイス自体をクラッシュさせたり、機密情報へのアクセスに悪用される可能性のあるコーディングエラーを含んでいたりする可能性があります。アプリがサードパーティ製か自社製かに関わらず、アプリの欠陥が何らかのセキュリティ侵害につながる可能性は存在します。
iOS4、そして近々登場するWindows Phone 7プラットフォームに搭載されるサードパーティ製マルチタスク機能は、真のマルチタスク機能を備えていないため、ある程度の保護は期待できます。しかし、真のマルチタスク機能を許可すると、悪意のあるアプリがバックグラウンドで密かに動作し、スマートフォン上で実行中の他のアプリのデータを悪用したり、アクセスしたりする危険性が高まります。
スマートフォンは進化を続け、手のひらサイズのコンピューターのような動作をますます実現しています。メールやインスタントメッセージのやり取りを処理し、iPhone 4、EVO 4G、Droid Xなどのデバイスでは最大32GB以上のストレージを搭載しているため、大量の機密情報を保存できます。これらの情報は、アプリの脆弱性やデバイスの紛失・盗難によって漏洩する恐れがあります。
ビジネス環境では、インストールが許可されるアプリは、一定のデューデリジェンスを確保するために、IT部門による審査と承認を受ける必要があります。IT管理者とユーザーは、スマートフォンやタブレットの潜在的なセキュリティ上の懸念を認識し、モバイルプラットフォームに保存されるデータに関して一定の注意と常識を働かせる必要があります。
