ESET/マルウェア情報局

最新スマホにも脅威が迫っている 今我々が取るべき対策とは?

  • この記事をはてなブックマークに追加
  • 本文印刷

本記事はキヤノンマーケティングジャパンが提供する「マルウェア情報局」に掲載された「【2019年版】基本から学ぶスマホの情報セキュリティ対策 」を再編集したものです。

おさらいしておきたい「情報セキュリティの基本」

 「手のひらサイズのパソコン」と例えられるスマホ。その進化によって、私たちの生活やビジネスは、便利に、快適に変化を遂げた。技術革新による低コスト化が進み、スマホの高機能化はさらに加速している。カメラやスピーカーなどエンターテイメント関連の機能拡充はもちろんのこと、セキュリティにも配慮した機能が搭載され、その安全性も高まっている。

 例えばiPhoneの生体認証機能は、ここ数年で大きな進化を遂げ、指紋認証ばかりか顔認証にまで対応し、ユーザーの利便性と安全性の両立を果たしている。一方で、スマホに記録される個人情報は、ますます重要なものになっている。利便性の高い「おサイフケータイ」機能における金銭に関わるものや、サービスを受けるためのIDなど、紛失時のリスクはさらに大きくなっていると言えるだろう。

 スマホのめざましい進化の一方で、それを使いこなすべき人の意識は、あまり進化していないようだ。IPAが実施した2018年度の調査によると、直近1年間でスマホのセキュリティに関して何も情報を収集していないユーザーは4割近くとなっている。この数字からはまだまだ自分自身がスマホを利用する場合の危険性を適切に理解できていないことが浮かび上がってくる。また、スマホはビジネスにも欠かせないものとなっているが、その利用時のセキュリティに対する意識はまちまちのようだ。

 多くの社員を抱える大企業などでは、ベンダーやSIerに端末の管理を一括で依頼しているケースも多く、紛失時のリスクや技術的な攻撃に対するソリューションの導入に積極的な企業も多い。一方、小規模の企業では、社員それぞれの私物のスマホを業務でも利用させるところが少なくない。その場合もいわゆる、「BYOD(私物機器の業務利用)」に関するルールを設定すらしないなど、何の対策もとられていないケースも多い。何事も基本が重要なのはいうまでもない。それは情報セキュリティ対策も同じだ。スマホ利用における基本的なセキュリティ対策を、まずはしっかりと押さえておきたい。

スマホの「情報資産」とは?

 情報という大切な資産を盗まれない、悪用させないこと。そのために、どう守りを固めるかを考え実行していくかが情報セキュリティの本質だ。まずは、「どのような情報が盗難・悪用されると危険か」をしっかりと把握すること。自分のスマホを片手に、どのようなものが情報資産にあたるかをリスト化してみるのも一考に値する。

・個人情報、行動履歴
 スマホには個人情報が溢れている。住所や電話番号、職業、会社名、パスワード・IDといった情報はもちろん、買い物履歴、銀行取引、ウェブの閲覧履歴など、多様な情報が引き出される可能性がある。また、プライベートで撮影した写真からExifデータを元に、位置情報を掴んで自宅を特定されてしまうこともあれば、SNS・メッセンジャーなどのやり取りから、ビジネスにおける秘匿情報や、大切な家族の情報を割り出されてしまうこともある。もはや、「知られたくない」、「恥ずかしい」で済ませられる時代ではなくなっているのだ。

・アカウント情報
 もっとも実害が想定されやすいのが、銀行、ECサイト、SNS、メッセンジャーなどのアカウント情報だろう。それぞれにパスワードなどの対策は取られているはずだが、場合によってはログインされるだけでなく、悪用してなりすまされる、あるいはクレジットカードやキャッシュレス決済のアプリを悪用されるなどの金銭的な被害にもつながりかねない。

スマホにおける「3つの脅威」

 こうした情報資産を盗難・悪用されるとすれば、どのような「脅威」があるのか。次に考えるべきはそこだ。具体的な脅威として挙げられるのは、モノ自体を盗難・紛失してしまう「物理的脅威」と、技術の脆弱性につけ込まれる「技術的脅威」、そして、自らのリテラシー不足による「人的脅威」だ。それぞれの脅威を想定し、対策を講じておきたい。

・物理的脅威
 もっともわかりやすい脅威。それは、スマホが「他人の手に渡ってしまうこと」だ。ログインされてしまえば、自分になりすましてSNSなどで情報発信される可能性も否定できない。さらに、その他人が悪意ある者だった場合、時間をかけてスマホ内の情報資産を抜き出す余地を与えてしまうことになる。盗難・紛失で手元からなくすことは絶対に避けたいところだが、確実にそれを防ぐ術はない。

・技術的脅威
 スマホはまさに技術の塊であり、そこには脆弱性がつきものである。一般ユーザーのほとんどは、その技術に関して専門的な知識を持っているわけではない。まずは、「脆弱性について知ること」。そして、「具体的な対策について情報を得ること」だ。スマホの情報セキュリティ対策を考えるにあたって、この部分が一番特徴的で、留意すべき点だと言えそうだ。

・人的脅威
 スマホは、個人で所有するもの。個人の行動と紐づくことが大前提となる。そのため、取り扱う個人のリテラシーや習慣で危険性は大きく変わることになる。公共の場所でスマホを無造作に置きっぱなしにする、パスワードを誕生日などのわかりやすいものにしてしまうというこ行為なども、ここに該当する要素だ。

スマホで気をつけたい情報セキュリティにおけるポイント

 スマホの情報セキュリティに対する脅威を踏まえて対策を講じる以前に、まずは自分の意識を変えることが求められる。留意しておきたいポイントを紹介しよう。

・盗難、紛失は一定の割合で発生する
 飲み会に参加する度にスマホを紛失し、翌日になって慌てる。電車やトイレ、喫茶店に忘れてしまい、急いで戻る。そんな経験をした人も多いのではないか。個人の認識や注意力に関わらず、盗難と紛失は一定の割合で発生するもの。「スマホをなくすこと」を前提に、事前の対策を講じておきたい。

 参照:スマホをなくした!というときに取るべき行動とは?
 https://eset-info.canon-its.jp/malware_info/special/detail/190808.html

・インターネットにアップした情報は完全には取り消せない
 一度、インターネット上にアップした情報は、完全に取り消すことは難しいという認識は持っておきたい。もし、自分の個人情報が入った文章や写真などをうっかりアップしてしまうと、取り返しがつかなくなる。昨年から話題になっているバイトテロ動画なども、SNSの一定時間後に自動的に削除される機能を使っていたが、拡散され炎上に至った。少々言い過ぎかもしれないが、個人の弱みとなる情報を収集している人々が少なからず存在し、待ち構えているというくらいに考えるほうが適当かもしれない。

・インターネット上には危険な仕掛けが溢れている
 不正なサイトへ誘導し、個人情報や金銭をだまし取る。近年、インターネット上の詐欺が巧妙化している。大手企業のサイトを装ったり、いつも使っているサイトから誘導されたり。意識していても詐欺に気づけないケースすらあるため、不自然な文言や、通常なら必要のなかった情報入力などが求められた場合には疑ってみる、手続きを中断するといった「一度立ち止まる」習慣をつけておくといいだろう。

・「無料」にはなにかしらの理由が存在する
 生活やビジネスに便利なアプリの中には「無料」のものも多い。では、なぜそのアプリは無料なのか考えてみてほしい。ものによっては、端末内に保存されている個人情報を引き出す仕掛けがあり、それと引き換えになっている恐れもある。公式アプリストアを経由しているものであっても、審査の目をくぐり抜けて不正なアプリが紛れ込んでいる可能性はゼロではない。そのアプリの評価はどうなっているか。開発者は信頼できる存在か、などを確認しておきたい。

 参照:セキュリティアプリに偽物が存在することを知っていますか?
 https://eset-info.canon-its.jp/malware_info/special/detail/190619.html

・重要な情報へのアクセスには幾重にもカギをかける
 自らの情報資産の中でも、特に重要な情報へのアクセスには複数のカギをかけること。これは大切な情報を守るためにも、大きなポイントとなる。あらかじめ、リスクを想定し、優先順位をつけながら、二要素認証の利用やわかりづらいパスワードを設定するなど、しっかりとした準備をしておきたい。

最新スマホで対応しておきたい情報セキュリティ対策

 では、具体的に、どのようなセキュリティ対策を講じればいいのか。その基本となるものをいくつか紹介しよう。

・セキュリティアプリのインストール
 年々、攻撃の手口は高度化している。一見、安全に見えるウェブサイトでも危険が潜んでいることもあれば、公衆Wi-Fiから通信内容を盗み見られることも、アプリからデータを窃取されるケースも存在する。そこで、誰にでもできるシンプルな対策として挙げられるのが「セキュリティアプリのインストール」だ。近年では、有名なゲームアプリや企業の正規アプリなどを装って、個人情報を窃取する「偽装アプリ」なども登場しているため、それらを人の判断だけで回避することは極めて難しい。たとえば、ESETのAndroid向けアプリ「Mobile Security & Antivirus」は、無料版でも一定の脅威に対抗できる。スマホを安全に利用するために、セキュリティ対策アプリのインストールは必須であることを確認しておきたい。

・アップデートの適切な適用
 ソフトウェアの脆弱性が発見され、開発者によって修正プログラムなどの対策が提供された後、ユーザーが修正を適用するまでには時間的なロスが発生する。最近では、その間隙を縫った「ゼロデイ攻撃」が一般化していることもあり、アプリやOSのアップデートはできるだけ、すみやかに適用しておきたい。特に、OSの場合は緊急性の高いアップデートは迅速なインストールを促される。その求めに応じなければ、危険性は飛躍的に高まり、結果的に自らの首を絞めることになりかねない。「面倒だ」と放っておくことなく、早めに適用することを心掛けたい。

・盗難、紛失時に備えた対策を講じておく
 人間はミスをする生き物である。盗難や紛失は完全には防げない。だからこそ、「紛失することを前提に何をしておくか」、「なくした時にどう対応するか」が大切になる。手元からなくなった場合に、被害を最小にとどめるための対処方法を事前に把握して、必要な対策を講じておきたい。

 まずは、大切な情報を「別の場所にバックアップしておくこと」。そして、紛失した際に速やかに端末を発見できるように「位置情報をオンにしておく」、その上で紛失時に慌てず探せるように、一度実際に探すことを試すことをおすすめしたい。いわば予行演習みたいなものだ。そして最後は、勝手に操作されることを防ぐために、「画面ロックを設定し、推測されやすいパスワードを避けること」。以上3つが基本的なセキュリティ対策となる。個人のスマホをビジネスで使用している場合、加えて会社側でその報告や、対応などを明確に定めておくとよいだろう。

まとめ

 ここで紹介したトピックスは、あくまで「基本」であり、それだけで安全を確保できるものではない。だが、スマホにまつわるセキュリティ対策の第一歩は、「リスクを知ること」にある。専門家でない限り、すべてのセキュリティ知識を勉強、吸収できるほど時間を持て余している人はいないはずだ。しかしながら、自らが使用する端末について知り、スマホにおけるサイバー攻撃・犯罪の状況を的確に把握すること。そうした基礎知識を元に、自らが取り得る対策を適切に講じるだけでも被害予防の可能性は高まる。安全な利用ができるよう心がけ、スマホがもたらすさまざまな恩恵を引き続き享受してほしい。