キヤノンMJ/サイバーセキュリティ情報局
iPhoneも絶対安全ではない 気にかけるべきセキュリティーポイントとは?
本記事はキヤノンマーケティングジャパンが提供する「サイバーセキュリティ情報局」に掲載された「iPhoneのセキュリティの基本とアプリを選ぶ際のポイント」を再編集したものです。
iPhoneがセキュリティに強いと言われる理由
iPhoneはセキュリティ対策が設計段階から組み込まれているため、安全性が高いとされる。iPhoneが発売された当初から取り入れている仕組みにより、インストールされるアプリは、デバイスの重要な部分にアクセスできないという特徴があるからだ。そのため、Android OSのモバイル機器に比べると、iPhoneがマルウェアに感染したケースは多くない。また、アップル社では運営するApp Storeで公開されるアプリに対して厳格な審査を行うことで、悪意のあるアプリを排除してきたのも理由の一つとして挙げられる。
加えて、アップル社がユーザーの個人情報保護に配慮した取り組みを積極的に行ってきたことも、セキュリティ向上に寄与している。近年、公開されたOSの更新により、iPhoneにおけるプライバシー保護に関する機能が強化されてきている。
プライバシー保護は各国政府による規制が強まってきており、アップル社の取り組みは、それらに対応するものだ。欧州の一般データ保護規則(GDPR)、米国カリフォルニア州の消費者プライバシー法(CCPA)、日本の改正個人情報保護法などが次々と施行されている。2021年4月に配布されたiOS14.5では、このような個人情報保護の法規制に対応した機能が提供されるようになった。
iPhoneにおけるセキュリティ対策
iPhoneに関するセキュリティやプライバシー対策はアップル社のポリシーに基づいている。それぞれ、より詳しく掘り下げて解説していく。
1)App Storeのセキュリティ
iPhoneに新たなアプリをインストールする際は、原則としてApp Storeを経由して行うことになっている。App Storeでアプリが公開されるためには、アップル社が実施する審査に合格しなければならない。この審査では、悪意のあるプログラムが含まれていないかをチェックする手続きがある。また、開発者の身元確認を実施するなど、総合的な観点からチェックする仕組みによりアプリの品質を担保している。審査を通過して認証されたアプリには署名が付与され、アプリが改ざんされていないことを保証する仕組みもある。
2)サンドボックスによる保護
「サンドボックス」とは、OSから仮想的に隔離された領域であり、その中で実行されたプログラムが外部と通信したり、命令を実行したりするのを制限するものだ。iPhoneでアプリが実行される際には、サンドボックス内でアプリが動作する。たとえ悪意のあるプログラムが導入された場合でも、他のファイルやシステム設定を不正に変更することは不可能とされる。
3)データの暗号化機能
iPhoneには「データ保護」と呼ばれる暗号化機能が用いられている。そのため、個人ファイルへの不正アクセスや、紛失・盗難時の不正なストレージへのアクセスを制限することができる。標準的な設定としてさまざまな個人データが保護対象となっており、具体的にはメッセージ・メール・カレンダー・連絡先・写真・ヘルスケアデータなどが該当する。
4)アプリの許可
iPhoneに導入されたアプリは、その機能に応じて、ユーザーの位置情報、連絡先、カレンダー、写真といったデータや、マイク・カメラといったiPhone搭載の機器へのアクセスを要求する場合がある。要求時の通知でユーザーが許可しない限り、アプリはこれらのデータや機器を使用できない仕組みになっている。また、許可した場合であっても、ユーザーは後から設定を変更することも可能だ。
加えて、アプリごとに収集しているデータをユーザーが容易に確認できる機能も提供されるようになっている。
iPhoneにアプリをインストールする時に注意すべきセキュリティポイント
ここまで述べてきたように、セキュリティ対策が講じられ堅牢とも言われるiPhoneだが、悪意のあるアプリが見つかった事例も過去に発生している。例えば、2019年にはiPhoneの標準WebブラウザーであるSafariにおいて、古いバージョンに存在した脆弱性を狙い、データを盗み出すマルウェアが報告された。iPhoneを使用しているからといって過信は禁物だ。くれぐれも、アプリインストール時にはセキュリティについて考慮するようにしたい。具体的なアプリインストール時の注意点は以下のとおりだ。
1)アプリや開発元を確認する
App Storeでは、アプリを使用したユーザーが投稿したレビューが掲載されている。そのレビューを確認して、信頼できるアプリかどうか検証するといいだろう。ただし、サクラと呼ばれるような、偽のレビューも少なからず存在するので、レビューをチェックする際にも疑いの目を持つようにしたい。また、アプリを開発した企業のWebサイトをチェックすることで、信頼に足る企業であるかを判断することも併せて行いたい。
品質の悪いアプリや、十分なサポート体制を有していない開発元の場合、たとえアプリにマルウェアが含まれていないとしても、不具合や脆弱性が放置されているリスクがある。
2)アプリが要求する権限を確認する
iPhoneにインストールするアプリが位置情報や連絡先などのデータを扱う場合、ユーザーのプライバシーを保護するため、必ずユーザーへの明示的な許可が必要とされる。アプリから要求される権限をすべて許可するのではなく、そのアプリの機能に必要な許可のみに限定するべきだ。必要以上に権限を要求してくるアプリは、過剰に個人情報を収集している可能性が考えられる。
3)公式ストア上のアプリに使用を限定する
iPhoneに「脱獄(ジェイルブレイク)」と呼ばれる改造を施すと、App Storeで公開されていない非公式アプリも導入できるようになる。公式アプリだけでは実現できない機能が利用できる一方、故障する、あるいはセキュリティが低下してしまうリスクがある。また、脱獄するとiPhoneの公式サポートの対象外となるため、推奨されない。
ただし、企業では組織内に限った利用を前提とした「エンタープライズ・アプリ」が配布される場合がある。このような非公式アプリを導入する場合は、安全性を担保するためにも、システム管理者の指示において求められるプロセスに従うことが望ましい。
iPhoneにもセキュリティリスクがあるという認識を
セキュリティに強いとされるiPhoneだが、先にも述べたようにセキュリティリスクは存在する。例えば、「アップルセキュリティ」と名乗る偽の警告文が表示されることがあった。こうした手口は、安全性の高いiPhoneの評判を悪用し、フィッシング詐欺や金銭を詐取することを狙っている。
また、iPhoneの便利な機能を悪用するケースもある。例えば、iPhoneのAirDropはデータを共有するのに便利な機能であるが、不特定多数からの受信を許可していると、悪意のあるデータが送られてくる恐れがある。こうした被害を防ぐためにも、データの受け渡しをする時以外は、AirDropの機能を無効化しておく、あるいは受信できる対象を限定しておくようにしたい。
マルウェアに感染したコンピューターにiPhoneを接続したために、iPhoneがマルウェアに感染するケースもある。コンピューターに接続する場合は、セキュリティ対策が実施している信頼できるコンピューターに限定すべきだ。iPhoneとコンピューター間でファイル転送する場合も、最近はインターネット経由で容易に行える。
また、iPhoneに限らずスマートフォン全般に言えることだが、アプリを利用する際にも注意が必要だ。これまで、スパムメールやショートメッセージ、チャットアプリから悪意のあるWebサイトへ誘導されるケースは頻繁に起こっている。見知らぬ宛先はもちろん、知り合いからの連絡であっても、リンクやファイルにアクセスする際は細心の注意を払いたい。そして、利用時には以下のような基本的な対策は徹底するようにしたいところだ。
・OSやアプリを常に最新のバージョンに更新する
・SNSや決済アプリなど、個人情報やクレジットカード情報を扱うアプリでは、二要素認証(2FA)を設定する
・パスワードは複雑な文字列にして、使い回しや他人との共有を避ける
・使っていないアプリや、インストールした覚えのないアプリは極力削除する
iPhoneのセキュリティは、Androidよりも高いと言われるが、アプリをインストールしたり、使用したりする上で気を付けるべきポイントは存在する。便利な機能を安全に利用するためにも、今回紹介したようなセキュリティの基本知識を身につけ、適切な利用を心がけてほしい。
この記事の編集者は以下の記事もオススメしています
-
デジタル
インシデント対応における組織構成はなにが重要なのか、SOCやCSIRTが求められる背景 -
デジタル
パスワードレスのログインを実現する「Windows Hello」についてあらためて解説 -
デジタル
女性を守るためと宣伝するも、重大な問題を持つ悪質Androidアプリ「ストーカーウェア」とは -
デジタル
フィンテックアプリを使う人とそうでない人 -
デジタル
偽のブランド品や求人詐欺などに注意! 未成年を狙う5つの詐欺 -
デジタル
Windows10搭載PCには総合セキュリティソフトを使おう -
デジタル
リモートワークが普及した今、MDM導入でモバイル機器のセキュリティリスク解決を目指す -
デジタル
「脆弱性」と「リスク」についてあらためて考える -
デジタル
スマホの「位置情報の通知を許可する」で気をつけたいこと -
デジタル
休暇を安全に過ごすため、サイバーセキュリティにも気をつけよう -
デジタル
スマホのマルウェア感染を疑おう、対策はどうしたらいいのか