2023年 3月22日公開

企業のITセキュリティ講座

今後はもっと狙われる? スマートフォンのセキュリティを見直そう

ライター・吉澤亨史

  • セキュリティ

業務にも使用できる性能と機能を持ち、テレワークではリモート会議端末としても活躍するスマートフォン。もはやトータルの販売台数ではパソコンを逆転している。公私ともに手放せなくなっているスマートフォンだが、「サイバー攻撃者はユーザーの多い環境を狙う」のセオリー通り、スマートフォンもサイバー攻撃の標的となっている。ここでは、スマートフォンを狙う脅威とセキュリティ対策について紹介する。

1. スマートフォンの特徴を理解する

スマートフォン(以下、スマホ)は、日本では2000年代後半から普及しはじめ、2011年の東日本大震災をきっかけに一気に広がった。そのポイントは、インターネット回線に直接接続できることと、さまざまなアプリを追加できることだと考えられる。総務省によると、2017年にはインターネット接続端末、および世帯の保有割合でスマホがパソコンを逆転している。

スマホは基本的に、パソコンとの類似点が多い。CPUとメモリー、ディスプレイで構成され、OS上にはさまざまな機能を持つアプリを自由にインストールできる。もちろん通話機能もアプリとして用意されている。また、常に持ち歩くことが多いのでコンパクトで軽量、インターネット接続はキャリア通信のほかWi-Fiでも行える。Bluetooth通信に対応していることも特徴といえる。

カメラを搭載していることもスマホの特徴で、しかも外側と内側の両方にカメラがある。内側のカメラはスマホならではの「自撮り」用途が主だ。カメラの性能は年々向上しており、解像度も高くなっている。スマホなら手軽に写真や動画が撮影でき、その場でSNSに投稿することもできる。このため、カメラを持たない人も増えた。

ソフトウェアのクラウドアプリ化もスマホの普及を後押しした。マイクロソフトのMicrosoft 365やグーグルのGoogle Workspaceなど、業務に必要なメール、スケジュール、文書作成、表計算、さらにはビデオ会議システムなどが統合されたアプリが各種リリースされている。クラウドサービスであればパソコンからでもスマホからでも同じデータに接続でき、端末にデータが残らない。これにより、出先などでも業務が可能になった。

決済機能を搭載することもスマホの特徴だ。クレジットカード情報を読み込ませて店舗などの決済に使用できるほか、日本向けに「おサイフケータイ」機能も搭載され、交通系カードをアプリに登録することでタッチ改札などが可能になっている。また、「〇〇ペイ」のアプリでQRコード決済にも対応している。もはや、財布を持たなくてもスマホ1台だけあれば済むようになってきているといえる状況だ。

情報通信機器の世帯保有率の推移。2017年には、スマホの世帯保有率がパソコンを上回った

転載元:総務省「平成30年版情報通信白書」

目次へ戻る

2. スマートフォンを狙う脅威

スマホには、連絡帳アプリに個人情報があり、決済機能があり、最近では健康情報も記録されている。また、家族全員が自分のスマホを持つなど、ユーザー数は相当な数になっている。サイバー攻撃者にとってスマホは宝の山であり、しかもパソコンよりもユーザー数が多いため、攻撃の成功率は同じでも被害に遭う人数は増える。スマホはまたとない攻撃対象となっている。

最近の脅威としては、フィッシングが挙げられる。スマホではパソコンのメールも受信できるので、フィッシングメールに引っかかってしまう恐れが高まるからだ。特にスマホは画面表示に限界があるため、メールの詳細な送信者情報などを確認できないこともあり、見極めが難しい。

また、スマホにはSMS(ショートメッセージサービス)があり、SMSは電話番号だけ分かれば送信できる。SMSを悪用するフィッシングを「スミッシング」と呼ぶが、このスミッシングが増加している。宅配業者の不在配達を騙(かた)るスミッシングは話題になった。

フィッシングやスミッシングでは、サービスのログイン情報(IDとパスワード)を狙うほかに、偽アプリのインストールを促すものも多い。スマホの場合は偽アプリによってウイルス感染と同じ状態にできるためだ。前述の不在配達スミッシングにおいても、誘導先のフィッシングサイトでアプリのインストールを促されるものであった。

ひとたびこうしたアプリをインストールしてしまうと、スマホにある情報を盗み出されたり、勝手に操作されたりしてしまう。現在のスマホは生体認証を活用しているため不正アクセスは難しいが、不正アプリを経由すればスマホの内部にアクセスできる。スマホはパソコン向けのウイルスには感染しないが、スマホを社内ネットワークに接続した際に拡散するウイルスも確認されている。

スマホでネットサーフィンをしていると、突然「この端末はウイルスに感染しています」などと表示されることもある。画面の指示に従うと偽アプリをインストールされたり、クレジットカード情報を盗まれたりする。これもパソコン向けの攻撃をスマホ向けに応用させたものだ。

さらに、Wi-Fiにもリスクが潜んでいる。スマホではインターネット接続にWi-Fiを使えば通信料がかからないため、Wi-Fiを使用することが多い。Wi-Fiスポットは数多くあるが、その中には悪意を持って設置しているスポットもある。その多くは、パスワードなしでアクセスできるようになっているが、パスワードがないということは通信が暗号化されていない可能性が高い。つまり盗聴される可能性があるわけだ。

このように、スマホには多くの脅威が存在する。脅威を知り、安全な使い方を心掛ける必要がある。

スマホに不審アプリをインストールさせる手口

転載元:IPA「安心相談窓口だより」

目次へ戻る

3. 業務用スマートフォンのセキュリティ対策

スマホは便利であるが故に、今では業務でも多用されている。以前はBYOD(Bring Your Own Device:個人のスマホを業務に使用すること)も多かったが、現在は会社が貸与するスタイルが主流となっている。ビジネス向けの製品や専用のアプリを導入することで、企業側が許可したアプリや機能しか使えないようにして、MDM(モバイルデバイスマネジメント)によって管理するケースが多いようだ。

BYODでは、業務で使用した電話代など費用面での調整が課題となったが、これは会社がスマホを貸与することで解決できる。また、ネットサーフィンや個人が契約するクラウドサービスの利用遮断など、リスクのある行動も制限することができる。万一、紛失や盗難に遭っても、MDMからスマホの位置の特定や、画面ロックや初期化が行える。

スマホに対する保護施策も重要となる。保護すべき対象は、主にスマホ内のデータや通信時のデータとなる。また、落下などに対する物理的な保護、廃棄する際の初期化なども忘れずに実施したい。そして、パソコンや企業システムと同様に、インシデント発生時の対応手順、復旧手順も策定しておく。

ただし、会社でスマホを支給しても、従業員は常に個人のスマホを持ち歩いていることを忘れてはならない。会社に持ち込まれる個人のスマホのリスクを正しく理解し、持ち込みを許可する場合には(できれば)申請あるいはシステムで把握できるようにするとともに禁止事項の説明を行うようにしたい。

そのためには、あらかじめ正しく使用するための手順書を用意し禁止事項を明確にするとともに、個人のスマホを持ち込む際には誓約書を提出させるなどの対策も有効となる。それだけリスクの高い行為であることを周知させたいものだ。スマホは確実に業務効率を向上できるものなので、安心して業務が行える環境を整えることが非常に重要だろう。

MDMは外部マネジメントサービスも提供されている。画像はたよれーるDMS(デバイスマネジメントサービス)

大塚商会「たよれーるDMS(デバイスマネジメントサービス)」

目次へ戻る

関連記事