セキュリティに関して言えば、ほとんどのモバイルデバイスは攻撃を待つ標的となっている。これは、政府監査院の監視機関が今週、モバイルデバイスのセキュリティ状況に関する議会への報告書でほぼ結論づけられたことだ。
セキュリティの欠如と、モバイルデバイスがサイバー犯罪者の標的となっているという事実が相まって、状況は悪化しています。例えば、GAOによると、モバイルデバイスを狙った悪意のあるソフトウェアの亜種の数は、1年足らずで約14,000種類から40,000種類に増加し、約185%に上ると報告されています。
ニュース速報:監視団体は、米国で無人機が自由に飛行できるようになるまでには多くの課題が残っていると指摘
詳細: 内部者のセキュリティ脅威が米国のセキュリティ機関によって深刻に監視される
「モバイルデバイスは、デバイスに共通して見られる多数の脆弱性を悪用する様々な脅威に直面しています。これらの脆弱性は、不適切な技術的管理策に起因する場合もありますが、消費者のセキュリティ対策の不備に起因する場合もあります」とGAOは述べています。「民間企業や関係する連邦政府機関は、消費者が希望する場合に特定の管理策を利用できるようにしたり、推奨されるモバイルセキュリティ対策に関する情報を公表したりするなど、モバイルデバイスのセキュリティ向上に向けた措置を講じてきました。しかし、モバイルデバイスにセキュリティ対策が常に一貫して導入されているとは限らず、消費者がデバイスでセキュリティ対策を有効にし、推奨対策を採用することの重要性を認識しているかどうかは不明です。」
GAOの報告書では、すべてのモバイルプラットフォームに共通するモバイルの脆弱性のリストが提示され、その弱点に対するいくつかの修正策が提示されている。
レポートより:
1. モバイルデバイスでは、パスワードが有効になっていないことがよくあります。モバイルデバイスには、ユーザーを認証し、デバイスに保存されているデータへのアクセスを制御するためのパスワードが不足していることがよくあります。多くのデバイスは、認証のためにパスワード、個人識別番号(PIN)、またはパターン画面ロックをサポートする技術的機能を備えています。一部のモバイルデバイスには、認証のために指紋をスキャンする生体認証リーダーも搭載されています。しかし、経験則によると、消費者はこれらのメカニズムをほとんど利用していません。さらに、ユーザーがパスワードまたはPINを使用する場合、1234や0000など、簡単に推測またはバイパスできるパスワードまたはPINを選択することがよくあります。デバイスをロックするためのパスワードまたはPINがないと、盗難または紛失した電話の情報に権限のないユーザーがアクセスし、機密情報を閲覧したり、モバイルデバイスを悪用したりするリスクが高まります。
2. モバイルデバイスで機密性の高い取引を行う際に、必ずしも2要素認証が使用されるわけではありません。調査によると、消費者は一般的に、モバイルデバイスを使用してオンラインで機密性の高い取引を行う際に、2要素認証ではなく静的パスワードを使用しています。静的パスワードを認証に使用すると、パスワードが推測されたり、忘れられたり、書き留められて盗まれたり、盗聴されたりする可能性があるというセキュリティ上の欠点があります。2要素認証は一般的に、従来のパスワードやPINよりも高いレベルのセキュリティを提供し、この高いセキュリティレベルは機密性の高い取引において重要となる場合があります。2要素認証とは、ユーザーがアクセスを許可される前に、少なくとも2つの異なる「要素」(ユーザーが知っていること、ユーザーが持っているもの、またはユーザー自身)を使用して認証する必要がある認証システムを指します。モバイルデバイスは、一部の2要素認証スキームにおいて2番目の要素として使用できます。モバイルデバイスでパスコードを生成したり、テキストメッセージで携帯電話に送信したりできます。2要素認証がないと、権限のないユーザーが機密情報にアクセスし、モバイルデバイスを悪用するリスクが高まります。
3. 無線伝送は必ずしも暗号化されているわけではありません。モバイルデバイスから送信されるメールなどの情報は、通常、伝送中に暗号化されません。さらに、多くのアプリケーションはネットワーク上で送受信されるデータを暗号化していないため、データが容易に傍受される可能性があります。例えば、アプリケーションがセキュアなhttpではなくhttpを使用して暗号化されていないWi-Fiネットワーク経由でデータを送信している場合、データは容易に傍受される可能性があります。無線伝送が暗号化されていない場合、データは容易に傍受される可能性があります。
4. モバイルデバイスにはマルウェアが含まれている可能性があります。消費者はマルウェアを含むアプリケーションをダウンロードする可能性があります。マルウェアはゲーム、セキュリティパッチ、ユーティリティ、その他の便利なアプリケーションに偽装されている場合があるため、消費者は知らないうちにマルウェアをダウンロードしてしまいます。ユーザーが正規のアプリケーションとマルウェアを含むアプリケーションを区別するのは困難です。例えば、アプリケーションがマルウェアと共に再パッケージ化され、消費者がうっかりモバイルデバイスにダウンロードしてしまう可能性があります。データは簡単に傍受される可能性があります。無線伝送が暗号化されていない場合、盗聴者によってデータを簡単に傍受され、機密情報への不正アクセスが発生する可能性があります。
5. モバイルデバイスはセキュリティソフトウェアを使用していないケースが多い。多くのモバイルデバイスには、悪意のあるアプリケーション、スパイウェア、マルウェアベースの攻撃から保護するためのセキュリティソフトウェアがプリインストールされていない。さらに、モバイルデバイスにセキュリティソフトウェアがプリロードされていないケースが多いため、ユーザーが必ずしもセキュリティソフトウェアをインストールするわけではない。セキュリティソフトウェアは、一部のモバイルデバイスの動作を遅くしたり、バッテリー寿命に影響を与えたりする可能性があるが、セキュリティソフトウェアがなければ、攻撃者がウイルス、トロイの木馬、スパイウェア、スパムなどのマルウェアを拡散させ、ユーザーにパスワードなどの機密情報を漏洩させようとするリスクが高まる。
6. オペレーティングシステムが古い可能性があります。モバイルデバイスのオペレーティングシステムのセキュリティパッチや修正プログラムは、必ずしもタイムリーにモバイルデバイスにインストールされるとは限りません。セキュリティアップデートが消費者のデバイスに提供されるまでには、数週間から数ヶ月かかる場合があります。脆弱性の性質によっては、パッチ適用プロセスが複雑になり、多くの関係者が関与する場合があります。たとえば、GoogleはAndroid OSのセキュリティ脆弱性を修正するアップデートを開発しますが、脆弱性修正を組み込んだデバイス固有のアップデートを作成するのはデバイスメーカーの責任であり、デバイスのソフトウェアに独自の変更が加えられている場合は時間がかかることがあります。メーカーがアップデートを作成したら、各通信事業者がそれをテストし、消費者のデバイスにアップデートを送信します。ただし、通信事業者は、アップデートがデバイスの他の部分やそこにインストールされているソフトウェアに干渉するかどうかをテストする時間を必要とするため、アップデートの提供が遅れる場合があります。
さらに、2年以上経過したモバイルデバイスは、メーカーによるサポートが終了しているため、セキュリティアップデートが提供されない可能性があります。多くのメーカーは、スマートフォンの発売後12~18か月でサポートを終了します。メーカーが新たに発見された脆弱性に対するパッチを開発しない場合、このようなデバイスはリスクが高まる可能性があります。
7. モバイルデバイスのソフトウェアが古くなっている可能性があります。サードパーティ製アプリケーションのセキュリティパッチは、必ずしもタイムリーに開発・リリースされるとは限りません。さらに、ウェブブラウザを含むモバイル向けサードパーティ製アプリケーションは、アップデートが利用可能になった際にユーザーに通知しないこともあります。従来のウェブブラウザとは異なり、モバイルブラウザはアップデートがほとんど行われません。古いソフトウェアを使用すると、攻撃者がこれらのデバイスに関連する脆弱性を悪用するリスクが高まります。
8. モバイルデバイスは、多くの場合、インターネット接続を制限しません。多くのモバイルデバイスには、接続を制限するファイアウォールが搭載されていません。デバイスが広域ネットワーク(WAN)に接続されると、通信ポートを介して他のデバイスやインターネットに接続します。ハッカーは、セキュリティ保護されていないポートからモバイルデバイスにアクセスする可能性があります。ファイアウォールはこれらのポートを保護し、ユーザーがモバイルデバイスへの接続を許可する接続を選択できるようにします。ファイアウォールがない場合、モバイルデバイスはセキュリティ保護されていない通信ポートから侵入される可能性があり、侵入者はデバイス上の機密情報を入手して悪用する可能性があります。
9. モバイルデバイスに不正な改造が施されている可能性があります。モバイルデバイスの制限を解除し、ユーザーが機能を追加できるようにする改造(「ジェイルブレイク」または「ルート化」と呼ばれる)は、デバイスのセキュリティ管理方法を変更し、セキュリティリスクを増大させる可能性があります。ジェイルブレイクにより、ユーザーはデバイスのオペレーティングシステムにアクセスでき、不正なソフトウェア機能やアプリケーションのインストールを許可したり、特定の無線通信事業者への縛りを解除したりできるようになります。ファイアウォールなどのセキュリティ強化機能をインストールすることを目的としてモバイルデバイスをジェイルブレイクまたはルート化するユーザーもいれば、望ましいアプリケーションをより安価かつ簡単にインストールする方法を探しているユーザーもいます。後者の場合、メーカーが確立したアプリケーション審査プロセスを回避しているため、マルウェアの意図しないインストールに対する保護が弱まり、セキュリティリスクが増大します。さらに、ジェイルブレイクされたデバイスはメーカーからセキュリティアップデートの通知を受け取れない可能性があり、ソフトウェアを最新の状態に保つためにユーザーに余分な労力を要求する可能性があります。
10. GAOの報告書はさらに、セキュリティ保護されていないWi-Fiネットワークに接続すると、攻撃者がデバイスから個人情報にアクセスし、データや個人情報の盗難の危険にさらされる可能性があると述べています。Wi-Fiネットワークを悪用する攻撃の一種に中間者攻撃があり、攻撃者が通信ストリームの途中に介入して情報を盗みます。9. 通信チャネルのセキュリティが不十分な場合があります。Bluetooth通信などの通信チャネルが「オープン」または「検出」モード(デバイスが他のBluetooth対応デバイスから認識され、接続が可能になるモード)になっていると、攻撃者がその接続を通じてマルウェアをインストールしたり、マイクやカメラを密かに起動してユーザーの会話を盗聴したりする可能性があります。さらに、セキュリティ保護されていない公共の無線インターネットネットワークやWi-Fiスポットを使用すると、攻撃者がデバイスに接続して機密情報を閲覧できる可能性があります。
反撃する
では、モバイルデバイスを安全にするために何ができるでしょうか?GAOの報告書では、次のようないくつかのアイデアが示されています。
ユーザー認証の有効化:デバイスへのアクセスにパスワードまたはPINの入力を求めるように設定できます。さらに、パスワードフィールドをマスクして閲覧を防止したり、アイドル時間中に画面をロックして不正アクセスを防止したりできます。
ダウンロードしたアプリケーションの信頼性を検証する: ダウンロードしたアプリケーションのデジタル署名を評価し、改ざんされていないことを確認する手順を実装できます。機密トランザクションで 2 要素認証を有効にする: モバイル デバイスで機密トランザクションを実行する場合は、2 要素認証を使用できます。2 要素認証は、従来のパスワードよりも高いレベルのセキュリティを提供します。2 要素とは、アクセスを許可される前に、ユーザーが少なくとも 2 つの異なる「要素」 (知っていること、持っているもの、または自分自身) を使用して認証する必要がある認証システムを指します。モバイル デバイス自体を、リモート アクセスに使用される一部の 2 要素認証スキームの第 2 要素として使用できます。モバイル デバイスでパスコードを生成することも、テキスト メッセージで携帯電話にコードを送信することもできます。2 要素認証は、モバイル バンキングや金融トランザクションなど、機密トランザクションが発生する場合に重要になることがあります。
マルウェア対策機能をインストールする:マルウェア対策機能をインストールすると、悪意のあるアプリケーション、ウイルス、スパイウェア、感染したSDカード、マルウェアベースの攻撃から保護できます。さらに、不要な(スパム)音声メッセージ、テキストメッセージ、メールの添付ファイルからも保護できます。
ファイアウォールをインストールする: パーソナル ファイアウォールは、着信と発信の両方の接続試行を傍受し、ルールのリストに基づいて接続をブロックまたは許可することで、不正な接続から保護します。
セキュリティアップデートのインストール:ソフトウェアアップデートは、メーカーまたは通信事業者からモバイルデバイスに直接自動的に転送されます。これらのアップデートが速やかに送信されるようにするための手順を導入できます。
紛失または盗難にあったデバイスをリモートで無効化:リモート無効化は、紛失または盗難にあったデバイスをリモートでロックするか、デバイス内のデータを完全に消去する機能です。ロックされたデバイスは、回収された場合、ユーザーが後からロックを解除できます。
デバイスまたはメモリカードに保存されているデータの暗号化を有効にする:ファイル暗号化は、モバイルデバイスやメモリカードに保存されている機密データを保護します。デバイスには暗号化機能が組み込まれている場合もあれば、市販の暗号化ツールが使用されている場合もあります。
ホワイトリストを有効にする: ホワイトリストは、既知の安全なアプリケーションのみがコマンドを実行できるようにするソフトウェア制御です。
モバイルデバイスセキュリティポリシーの策定:セキュリティポリシーは、組織がモバイルデバイス(組織が支給したものか個人所有のものかを問わず)をどのように扱うかを決定するルール、原則、および実践方法を規定します。ポリシーは、役割と責任、インフラストラクチャのセキュリティ、デバイスのセキュリティ、セキュリティ評価といった分野をカバーする必要があります。これらの分野に対応するポリシーを策定することで、組織はワイヤレスネットワークのセキュリティ強化に役立つ実践、ツール、トレーニングを適用するためのフレームワークを構築できます。
モバイル デバイスのセキュリティ トレーニングを提供する: 組織のモバイル セキュリティ ポリシーについて従業員をトレーニングすると、モバイル デバイスが安全かつ適切な方法で構成、操作、使用されるようになります。
展開計画を確立する: 適切に設計された展開計画に従うことで、セキュリティ目標を確実に達成できるようになります。
リスク評価を実行する: リスク分析では、脆弱性と脅威を特定し、潜在的な攻撃を列挙して成功の可能性を評価し、モバイル デバイスへの攻撃が成功した場合の潜在的な損害を推定します。
構成の制御と管理を実行する: 構成管理により、展開前、展開中、展開後に不適切な変更が導入されることからモバイル デバイスが保護されます。
Twitter: nwwlayer8 および Facebook で Michael Cooney をフォローしてください。
マルウェア対策の詳細については、Network World のマルウェア対策セクションをご覧ください。
