キヤノンMJ/サイバーセキュリティ情報局
スマホの乗っ取り手口と対応策を知ろう
本記事はキヤノンマーケティングジャパンが提供する「サイバーセキュリティ情報局」に掲載された「スマホの乗っ取りを防ぐために必要な3つの対策」を再編集したものです。
スマホを乗っ取られたらどうなるのか――。考えたくもないと思ってしまう人も少なくないはずだ。しかし、スマホの乗っ取りは現実問題として起こっている。攻撃者にとって、スマホは魅力的な攻撃対象であり、さまざまな方法を駆使して乗っ取ろうと企んでいるのだ。この記事では、攻撃者がスマホを乗っ取る手口とその対応策について解説していく。
スマホ乗っ取りの実情
映画「スマホを落としただけなのに」では、スマートフォン(以下、スマホ)を乗っ取られた状況が衝撃的に描かれていた。あくまで娯楽映画という側面を割り引く必要はあるものの、実際にスマホの乗っ取りは発生している。むしろ、乗っ取られた直後に気づくような、わかりやすいケースは多くなく、一定の時間経過後、不審な挙動などから発覚することも少なくない。
スマホを乗っ取られてしまうと、気づかぬうちに自分の位置情報を送信される、連絡先などを盗み出される、ネットバンキングのアカウント情報を窃取される、といった被害に遭う可能性がある。このような被害を防ぐためには、その手口を知り、対策を講じていくことだ。そこで、スマホの乗っ取りについて、3つの手口と対策を紹介していく。
SNSの乗っ取り
個人情報や機微な情報が記録されていることが多いSNSが乗っ取られてしまうと、ユーザーとしては深刻な被害を受けかねない。まずは、SNS乗っ取りの手口とその対策について確認していく。
・SNS乗っ取りの手口
初歩的ではあるが、SNSはIDとパスワードを不正に入手されることで乗っ取られてしまう。代表的な手口としては、フィッシングサイトを使ったIDとパスワードの詐取、あるいはブルートフォース攻撃などでIDやパスワードを不正に入手するような試みがある。
ただし、LINEの場合は電話番号による友だち検索機能を用いた乗っ取りも過去に発生している。攻撃者はまず、LINEで適当に電話番号を打ち込んで検索し、ヒットしたアカウントを友だちに追加する。この場合、認証番号が相手にSMSで届くため、友だちになりすましてこれを聞き出し、最終的にLINEを乗っ取ってしまう。
FacebookやTwitterなどの場合、「アプリ連携」を利用した乗っ取りも少なくない。アプリ連携では、SNSのプロフィール情報やフォローリストの編集権限が含まれることがある。このような権限を許可してしまうと、攻撃者が本人になりすまし、アカウントに登録されている友だちに送金を依頼することもある。他にも、アフィリエイトリンクやウイルス拡散のために不正利用される危険性も高い。いずれにせよ、友だちとの信頼関係を壊してしまうなど、実生活に深刻な影響を与えることもあるので注意が必要だ。
・SNS乗っ取りへの対策
まず、講じるべきはパスワードを漏えいさせないための対策だ。パスワードを15桁以上の複雑なものとする、使い回しを避けるといった基本的な対策が有効となる。また、煩雑な管理を避けるため、パスワード管理ツールを利用し、マスターパスワードを厳格に管理するという方法を採用するのも一考だ。加えて、二段階認証(二要素認証)を利用することで、さらに認証強度は高くなる。
そして、SNSでシェアされることも多い、アプリ連携が前提の心理テストや性格診断、恋愛診断、ゲームなどといったサービスは、信頼できる企業が提供するもの以外は利用を避けるべきだろう。
SIMスワップ詐欺を使った乗っ取り
SIMスワップ詐欺とは、他人のSIMを悪用して行う詐欺のことだ。「SIMハイジャック」や「SIM分割」と呼ばれることもあり、海外で多くの被害が確認されている詐欺行為だ。
・SIMスワップ詐欺での乗っ取りの手口
SIMスワップ詐欺は、攻撃者が狙いを定めたユーザーの登録電話番号を攻撃者自らのSIMに移すことを企む。その実現のため、攻撃者はユーザーがSNSに投稿した情報を収集する、あるいはフィッシング詐欺などで個人情報を窃取する、といった手口から始める。集めた情報をもとに、攻撃対象のユーザーになりすまして携帯電話会社に連絡をし、電話番号を攻撃者のSIMに移行する手続きを行う。
攻撃者のSIMへの移行が成功すれば、SNSやSMSは乗っ取られ、自由に利用できてしまう。SNSや多くのWebサービスはパスワード変更時のワンタイムコードをSMSで受け取る仕組みとなっているため、簡単にパスワードを変更できてしまうからだ。ワンタイムコードでのパスワード変更に対応しているオンラインバンキングやショッピングサイトであれば、金銭を引き出すことも簡単にできてしまう。また、手中にあるSNSアカウントで本人になりすまし、悪用するなど、攻撃者の思いのままだ。
・SIMスワップ詐欺での乗っ取りへの対策
SIMスワップ詐欺では、ターゲットとなるユーザーの個人情報の収集が前提となる。攻撃者はあらゆる場所から、ユーザーの個人情報を拾い集める。こうした被害を防ぐには、電話番号を含めた自分の個人情報を極力公開しないことだ。また、最近では複数のSNSを併用するユーザーも多いことから、攻撃者も主要なSNSを横断し、断片的な情報から詐欺に必要な情報に昇華させていくような、地道なプロセスをとっているケースもある。インターネット上に公開している情報は収集される可能性がある、という前提に立ち、投稿内容を考えることがユーザーには求められる。
不正なアプリを使った乗っ取り
スマホのアプリには無料ながら利便性が高いものも少なくない。しかし、その中には一定期間が経過した後に不正なアプリに変貌するものも少なからず存在する。
・不正なアプリによる乗っ取りの手口
スマホにかかる出費を極力抑えたいというのはほとんどのユーザーに共通する願望だろう。そうしたユーザーの心理を見透かし、無料のアプリに危険性のあるプログラムを仕込む攻撃者もいる。当初は無料で便利だったアプリが、ある日のアップデート後、悪意のあるアプリと化してしまうのだ。厳格な審査が行われているはずのアプリストアであっても、審査時点で危険性がないという判断から審査をクリアしてしまう。アップデートなどを経て危険なアプリと化すのだ。
また、提供する機能では不要な、カメラや位置情報、連絡先などへのアクセス権限を要求するアプリも注意が必要だ。こうしたアプリは、得られたアクセス権限をもとに、ユーザーの情報を盗み出し、その情報を攻撃者のサーバーへ送信する。
また、スマホのCPUやメモリーなどのリソースを用いて、仮想通貨(暗号資産)のマイニングを行うようなアプリもある。もちろん、そのマイニングで得られた暗号資産は攻撃者の利益となる。そのほかにも、スマホの中でアプリ間連携を行い、SNSの情報を盗み出すような手口もある。
・不正なアプリによる乗っ取りへの対策
無料のアプリの場合、配布元の信頼性を確認することを第一に行いたい。基本的に、信頼できる配布元のアプリでなければ、有料/無料を問わずインストールは推奨しない。無料のものを使う場合は、無料の理由を確かめ、納得した上でインストールするようにしてほしい。また、SNSの乗っ取りの段落でも触れたが、アプリ間の連携は極力避けること。やむなく連携する場合、連携による提供情報や権限を必ず確認することだ。
iPhoneはiOS14以降でセキュリティが強化され、アクセス権限の付与についてシビアになっている。どのような情報をアプリが取得しているかを表示し、許可すべきかの通知もなされる。それらの通知の中で、許可した覚えがないものについては許可しないように権限設定を変更し、必要最低限のものに限定すべきだろう。可能であれば、一度アプリごとに許可したアクセス権限について再確認しておきたい。
Androidユーザーであれば、提供されているさまざまなセキュリティソフトの利用を検討するとよい。ESETのAndroidユーザー向けセキュリティソフト「ESET Mobile Security for Android」であれば、ウイルス対策はもちろん、リアルタイムでの脅威検知にも対応している。自らのセキュリティリテラシーと照らし合わせながらも、まずは30日間無料体験版をインストールして試用することをおすすめしたい。
乗っ取りを防ぎ、安心なスマホライフを
スマホ一つでさまざまなサービスを利用できるようになった反面、残念ながらそうしたサービスを悪用して攻撃につなげるケースが増加傾向にある。この記事で説明してきたように、乗っ取りと言ってもさまざまな手口が存在する。また、スマホが日常生活と密接になり、乗っ取られた場合の被害も以前より深刻な状況となってきている。
スマホを乗っ取られないために紹介してきた対策はどれも基本的なことばかりだ。逆に言えば、基本的な対策を講じていれば、被害リスクは最小限に抑制することが可能だ。今後もさらなる進化が見込まれるスマホを安全に利用するためにも、ユーザー側も知恵をつけて攻撃者に対抗してほしい。