マルウェア情報局
スマホのセキュリティーはパソコンと比べて甘いというのは本当なのか
本記事はキヤノンITソリューションズが提供する「マルウェア情報局」に掲載された「スマートフォンとパソコンのセキュリティ、どちらが本当は甘いのか」を再編集したものです
今日、モバイルデバイスのない生活を想像するのは簡単なことではない。すでに私たちは多種のデバイスを使っており、それらが完全に日常生活の一部となっているからである。さらに言えば、これらのデバイスのない未来を想像することは、全く不可能である。そのため、最近ではかなり自由度が高まっており、さまざまなトレンドがあるが、いくつか上げれば、「BYOD」(自分のデバイスの持ち込み)、「CYOD」(自分のデバイスの選択)、「BYOA」(自分のアプリケーションの持ち込み)、「BYOC」(自分のクラウドの持ち込み)などとして結実している。
こうしたデバイスに対する依存が増していくと同時に、ハードとソフト双方の設計において新しい進歩が起こるのを目の当たりにしている。この著しい発展はモバイルセキュリティをさらに高めることを目的とした膨大な研究を伴っており、その様子を知れば、ムーアの法則(=処理能力の増加とともにそのためのハードも小型化するなどの進化が進むという意味)が依然として成り立っていることが分かる。
けれども一般的に、相変わらず多勢を占める見方は、最も高性能な携帯電話ですら標準的なデスクトップパソコンよりもセキュリティは弱い、というものである。たとえ「サンドボックス」の環境下で作動するアプリを用い、以前よりもっとセキュリティに重点を置いているOSを用いていたとしても、「モバイルのセキュリティは甘い」と見られているのである。
少し冷静に考えてみれば、モバイルデバイスがデフォルトで通常のパソコンと同等かそれ以上に安全なものであるということは、すぐに分かるはずである。物理的もしくは論理的なアクセスの確立の仕方しかり、デジタルアイデンティティの認証しかり、ソフトウェアトークンのためのプラットフォームしかり、あるいはデスクトップパソコンのトランザクションを検証するツールとしてモバイルフォンを利用することしかり、である。
適切に管理され保護されていれば、モバイルデバイスはデジタルアイデンティティとオンライン取引を安全に行うのに適したプラットフォームである。このことは多くの要因により裏打ちされている。以下、7つの要因を上げてみよう。
1 モバイルデバイスは標的として攻略しやすいわけではない
例えばアプリからアプリへの感染、キーロガー、メモリーの乗っ取りといったデスクトップパソコンを狙ったマルウェアの特性は、今のところまだモバイル向けのマルウェアの場合にはそのほとんどを目にすることがない。更に加えて、モバイルの脆弱性はそのライフサイクルが短い傾向にあるというのも利点となっている。
2 攻撃対象となるモバイルデバイスが少ない
モバイルマルウェアや脆弱性を突いた攻撃は、通常、特定のハードウェア、ファームウェア、およびOSのバージョンを対象としているため、大規模な侵害の可能性が低くなり、攻撃者が利益を得る可能性は小さくなる。
3 モバイルデバイスはセキュリティに基づいたアーキテクチャを採用している
今日、モバイルOSの開発の中心である多層アプローチのおかげで、ルート権限を与えられていないか、あるいは「脱獄」(ジェイルブレイク)のないデバイスは安全性が高くなっている。インストールされているアプリはデジタル署名がなされており、それが、ユーザーが個々のアプリにそれぞれ許可を与えるのか否かを決めると同時にそれぞれのアプリの権限も決定するのである。
4 モバイルデバイスはサンドボックス技術を使用している
アプリケーションはサンドボックス環境で実行されるため、原則として他のアプリに属するデータを共有したり、アクセスすることはできない。これは洗練されたモバイル向けマルウェアから身を護るのに役立つ重要な機能となる。
5 正規アプリは公式のショップに「集中化」されている
公式ショップによるアプリ評価のプロセスがどれだけ成功しているかということについては議論の余地がある。しかし、正規のソフトウェアが「1つの屋根の下で」利用可能であるため、ソフトウェアのインストールの手続きが簡素化され、不正コードをインストールするリスクが軽減されることは間違いない。
6 モバイルデータのネットワークは公衆Wi-Fiよりも安全である
喫茶店やショッピングセンターにいる時にオンラインでの購入や銀行口座の確認など、機密データを含む取引を行う必要が生ずることがある。そのような時には、ワイヤレスキャリアのデータネットワークを使用する方が、無料Wi-Fiネットワークにデバイスを接続するよりも、はるかに安全である。
7 モバイルデバイスはセキュリティ強化ソリューションと簡単に統合可能である
ワンタイムパスワード(OTP)と呼ばれる使い捨てのコード、またはアプリケーション固有のPINロック解除オプションといった電子証明書を提供するソリューションは、デバイスのセキュリティをさらに強化する。
確かに、輝くものがすべて金とは限らない。携帯電話にも情報の保護の点でいくつか欠点がある。携帯電話やタブレットを使う時、情報保護の点でユーザーが直面する可能性のあるリスクは数多く残されている。例えば、ソフトウェアの更新がメーカー依存のため万遍なく実施されない可能性があること、閲覧時のデジタル証明書のプロパティの分析の難しさ、公式店に侵入する大量のマルウェア、脆弱なアプリ、盗難に対する脆弱性の増加、紛失や破損、等々である。
事の真相は、最近ではデバイスやユーザー、アプリケーションが絶対確実と期待するのは難しい、ということだ。システムが提供するセキュリティの大部分は、ユーザーの環境設定とユーザーが使用する方法によって決まる。そして、つまるところ、数百万件もの侵害をもたらす脅威の多くは、不正メール、フィッシングWebサイト、または複雑な(必ずしもそうだとは言えないが)マルチプラットフォームのソーシャルエンジニアリングのスキームに基づいたインスタントメッセージから始まるのだ。
これらをすべて検討し実行に移せば、私たちがポケットに入れているモバイルデバイスが非常に多くの可能性を秘めていることを前提にしたうえで、それらを最高かつ安全に使用する方法を知っておくことが大事であると言えるであろう。