対応しようがない脆弱性を突かれてしまうことがある
PCやスマートフォンには、プログラムの不具合や設計上のミスなどが原因となり発生する情報セキュリティ上の欠陥、「脆弱性」が発見されることがある。
脆弱性は、悪意のある人間にとっては格好の標的となる。脆弱性は、発見され次第、メーカーや関係機関などに報告される。そこから修正プログラムが作成され、対象となるソフトウェアに対する最新のパッチが提供されるなどして、対策が完了することが多い。
しかし、その対応策が公表される前に攻撃されるケースもある。「ゼロデイ脆弱性」という脅威はそのひとつだ。
「ゼロデイ」とは、脆弱性を解消する手段がない状態で脅威にさらされる状況のことを指す。修正プログラムが提供される日(1日目、One day)より前の日(0日目、Zero day)にある状態ということから、そう呼ばれる。ゼロデイ脆弱性を狙ったサイバー攻撃を「ゼロデイ攻撃」と呼ぶこともある。
攻撃する側が開発側よりも先に脆弱性を見つけるパターンもあれば、脆弱性自体は見つかっているのだが、修正用のプログラムが公表されるまではタイムラグが生じるため結果的にゼロデイ攻撃に発展するパターンもある。
例えば、2024年6月、TikTokでDMを介してアカウントを乗っ取るサイバー攻撃が続発していることが報告された(TikTok says cyberattack targeted CNN and other 'high-profile accounts' | AP News)。
この攻撃はゼロデイ脆弱性を利用したもので、悪意のあるリンクを含むDMを開くだけでアカウントが乗っ取られてしまうというもの。なお、TikTokはすでに対策を講じたとしている。
基本的なセキュリティへの意識を欠かさないように
攻撃者だけが知っている「未知の脆弱性」、関係者は認識しているものの修正プログラムが適応される前の「未対応の脆弱性」を突いた攻撃を防ぐことはむずかしい。では、どうすればよいのか。
PCやスマートフォンなどのセキュリティに関しては、攻撃されたときまで想定して、対応をしておくことが重要だ。定期的にバックアップを取っておいたり、大切なデータは外部に保存したりすることで、脆弱性を突かれたときにもある程度までは対応できる。
また、メールやDMなどの本文中のリンクに不用意にアクセスしないことも大切。ゼロデイ脆弱性を突いた攻撃といえども、基本的なセキュリティをしっかりしておくことが肝心といえる。
重要なことは、「ゼロデイ脆弱性への攻撃があるからOSの早急なアップデートは無意味」というわけではないこと。アップデートの通知がきたらなるべく早く適用するほか、ブラウザーなどを最新バージョンに更新していくことも大切だ。
基本的なセキュリティをしっかりした上で、ゼロデイ脆弱性を突いた攻撃などの不意のリスクにもそなえるのが重要なのだ。
今回は、McAfee Blogから「様々なデジタルデバイスを狙うサイバー犯罪とセキュリティ対策」を紹介する。(せきゅラボ)
※以下はMcAfee Blogからの転載となります。
様々なデジタルデバイスを狙うサイバー犯罪とセキュリティ対策:McAfee Blog
スマートフォン、タブレット、ノートパソコン、スマートTV、IoT機器など、21世紀に入ってからの急速なテクノロジーの進化とともに様々なデジタルデバイスが誕生しました。これらのデジタルデバイスは、私達の生活をより便利なものにするだけでなく、これまでは想像もできなかった新たな世界へと導いてくれます。しかし一方で、それらを狙ったオンライン上でのサイバー犯罪が増加しているのも事実です。今回は、私達の身の回りに潜むデジタルデバイスを狙ったサイバー犯罪の種類や傾向、そして被害に遭わないためのセキュリティ対策について紹介します。例をはじめ、被害を未然に防ぐための具体的な対策について紹介します。
デジタルデバイスを狙ったサイバー犯罪が増加
毎年、次々と新しいデジタルデバイスが発売され、私達はその度にこれまでにない新たな体験をすることができますが、同時に新たなデジタルデバイスを利用する何百万人ものユーザーがマルウェアやフィッシング詐欺などサイバー犯罪の被害に遭っていることを忘れてはいけません。
現在、世界中には、様々な種類のデジタルデバイスが溢れていますが、それらを狙ったサイバー犯罪の手口は年々巧妙さを増しています。例えば、私達日本人がよく使用しているiPhoneもサイバー犯罪者達の格好のターゲットとなっています。一般的にiPhoneをはじめとするApple製のデバイスは、優れたセキュリティ機能等を兼ね備えており、マルウェアに感染しにくいといわれています。ただし、脆弱性が全くないというわけではなく、セキュリティ面が脆弱になってしまう場合もあり、サイバー犯罪者達はその隙を常に狙っており、ウイルスに感染したり、内部の個人情報が盗まれてしまう可能性があります。 一方のAndroid製品は、iPhoneのiOSよりもOSに侵入しやすく、度々マルウエアをはじめとする様々な攻撃を受けており、開発元の会社にとって長年の悩みの種といえます。
また、最近はフリーランスやノマドワーカーを志す人が増加したり、遠隔で仕事をする会社員も登場するなど人々の働き方が多様化したこともあり、タブレットやノートパソコンの需要が一気に高まっています。サイバー犯罪者達はそんな人々の隙につけ込んで、駅やカフェなどの公共のWi-Fiを通じて、パソコン内の会社の機密情報や個人情報を狙っています。
さらに近年、ターゲットになりやすいのがIoTデバイスです。自宅のテレビや洗濯機などの家電製品をはじめ、電気量や防犯装置までIoTデバイスと接続することで遠隔操作が可能になり、利便性が向上しました。しかし、悪意のあるハッカー達は、これらのIoTデバイスを悪用することで、様々な犯罪を企てています。
このように次々と新しいデジタルデバイスが登場するに従って、サイバー犯罪者達は次々と新たらしい犯罪手口を生み出し、私達に攻撃を仕掛けてくるのです。
スマートフォンを狙うサイバー犯罪
過去には携帯電話を標的としたサイバー犯罪も存在していましたが、多くの人が携帯電話からスマートフォンに乗り換えてからは、彼らの標的もスマホになりました。スマートフォンのOSにはiOSとAndroidの2種類あり、以下ではそれぞれをターゲットとする主なサイバー犯罪の傾向とその対策について紹介します。
iOS
iOSは、主にiPhoneなどアメリカのApple社が開発しているデジタルデバイスのOSのことです。Apple製のデバイスは、外部には非公開なエコシステム、内部には高性能なセキュリティ機能があり、さらに第三者製のアプリに対する厳格な規約を兼ね備えているということで、Androidよりも比較的セキュリティ面は頑丈といえます。
数年前まで、日本で購入できるiPhoneは全てSIMがロックされており、特定の通信会社と契約しないとインターネットを使用することができませんでした。そこでiPhoneをSIMフリーとして使用するために脱獄を試みる人が一定数いました。脱獄とは、iPhoneで規定よりも多くの機能やアプリを使用するためにiOSの制限を開放すること行為で、一見聞こえはいいですが、実際にiPhoneを脱獄した場合、セキュリティ面が脆弱になってしまい、様々な攻撃を受ける危険性が出てきてしまいます。マルウェアなど悪影響を及ぼすウイルスに侵入されてしまうと、バッテリー寿命が極端に短くなったり、ポップアップ広告が頻繁に表示されたり、突然アプリが強制終了するなど、最悪の場合はiPhoneがオーバーヒートしてしまう可能性があります。iPhoneと同じようにiPadやMacというApple社の製品を狙ったサイバー攻撃も増えています。
Android
Google社が提供しているAndroid端末は、誰でもアクセス可能なオープンソースコードに依存しているので、iOS端末に比べてマルウェアなどのサイバー攻撃のターゲットになりやすい傾向があります。Android端末で使用できるアプリケーションを販売しているGoogle Playストアのセキュリティ面もApp Storeに劣ります。Google Playストアにはない第三者製のアプリを入手することがAndroid端末の魅力の一つとして知られていますが、実はこれがマルウェアなどのサイバー攻撃が多い理由でもあります。
また、OSのアップデートの回数に関しても、Android端末に比べてiOS端末のほうが定期的に行なわれており、すぐにアップデートを実行するユーザーが多いので安全性は高いといえます。一方のAndroid端末は、新しいOSを通知する際に端末の製造業者や通信キャリアを経由しているので、通知がユーザーに伝わるまでに長い時間がかかったり、伝わらない場合もあるので、なかなかインストールされません。サイバー犯罪者達は、この間の脆弱な期間を悪用し、様々なサイバー攻撃を仕掛けてきます。
そして、Androidを狙うサイバー犯罪の手口としては、前述したGoogle Playストア以外の第三者製のセキュリティ面で不安があるアプリをはじめ、主にアダルトサイトなどの不審なサイトに張り巡らされている不適切な広告、SSL化(暗号化)していないウェブサイト、メールやSNS内のメッセージなどで送られてくるフィッシングメール、セキュリティ面が脆弱な公共のフリーWi-Fを経由してマルウェア等を使った攻撃を仕掛けてきます。
パソコンを狙ったサイバー犯罪
最近は日本人の働き方が多様化しており、ノートパソコンを使ってオフィス以外でも仕事をする人が増えています。しかし、そういった新しい働き方をする人を狙うサイバー犯罪も増加の一途を辿っており、様々な事件が発生しています。こちらでは、そういった人々を狙うサイバー犯罪の傾向を紹介します。
一般的にフリーランサーやノマドワーカーなどはオフィスではなく、カフェやコワーキングスペースなどの公共の場所で仕事をする場合が多いですが、実はそういった場所では非常に多くのリスクが伴います。まず、カフェや駅の公共のWi-Fiのほとんどはセキュリティ面が脆弱で、サイバー犯罪者達の恰好の獲物になりやすいです。公共のWi-Fiに接続することで、マルウェアに感染したり、個人情報が盗まれてしまうだけでなく、最悪の場合は銀行口座から貯金が盗まれてしまうなどの金銭的な被害を受けてしまう可能性もあります。
また、カフェで席を立つ際には注意が必要です。ノートパソコンを置きっぱなしにして席を立ってしまうと、パソコン自体や貴重品が盗まれるだけでなく、第三者に勝手にUSBを差し込まれてウイルスなどに感染してしまったり、パソコン内の会社の機密情報までも盗まれてしまう危険性もあります。もちろん、公共の場では誰が近くでみているかわかりません。肩越しに画面を除きこまれてパスワードや機密情報が見も知らずの第三者に知られてしまう可能性があります。さらにオンラインミーティングや人と打ち合わせをする際、周囲の人に聞き耳を立てられて重要な情報が漏れてしまう危険性もあります。
IoTデバイスを狙ったサイバー犯罪
近年、各家庭で使用されているIoTデバイスもサイバー犯罪者達の標的となりやすいです。IoTデバイスとは、モノとインターネットが接続できる「IoT」機能を搭載した製品で、遠隔で家の電気を消したり、テレビを操作したり、スマホで家の鍵を開け閉めしたりすることもでき、このようなIoT家電が私達の生活に導入されはじめたことで、利便性は飛躍的に向上しました。ただし、このIoTデバイスには、常にセキュリティ面での不安がつきまとうのも事実です。例えば、インターネットを経由してサイバー犯罪者達にハッキングされて監視カメラを乗っ取られてしまうと、家の中の自分のプライベートが全て見られてしまうだけでなく、金庫やオンラインバンキングのパスワードなどを知られてしまい、金銭的な被害を受けてしまいかねません。
また、最近は電力供給などの生活インフラもIoT化が進んでいますが、ここもリスクが高いといえます。遠隔で電力をコントロールできるスマートメーターを自宅に設置する家庭が増えていますが、一度サイバー犯罪者によってハッキングされてしまうと大変です。電気料金や住人の日々の行動パターンを知られてしまうだけでなく、警報システムを止められてしまい、空き巣に入られてしまう危険性があります。
そして、自動車のスマートキーもサイバー犯罪者の主な標的の一つです。スマートキーは、短距離の電波を使って自動車の解錠や施錠を遠隔で行なうことができる便利な機能ですが、セキュリティ面が脆弱ということもあり、サイバー犯罪者に悪用されてしまう自動車の盗難事件が起こっています。
さらには、医療機関でのIotデバイスへのサイバー攻撃も増えています。病院では主に患者の電子カルテやMRIなどにIoTデバイスが使用されていますが、第三者に乗っ取られてしまうと個人情報の流出だけでなく、最悪の場合は人命に関わる危険性があります。
デジタルデバイスを保護するための対策
こちらでは様々なサイバー攻撃からデジタルデバイスを保護するために、あらゆるデジタルデバイスに共通する対策と、各デバイス毎の対策をまとめました。
全てのデジタルデバイスに共通する対策
パスワードは推測されにくいものにする
単純な「1234」や自分の生年月日などをパスワードに使用すると、サイバー犯罪者に推測されやすいので危険です。パスワードはできるだけ大小のアルファベットや数字、記号を含む複雑なものを設定しましょう。
常に最新版を保つ
オンライン上には、次々と新しいサイバー攻撃やウイルスが登場するので、それに対応するためもIoTデバイスで使用しているOSやアプリなどは常に最新版の状態にアップデートしておきましょう。
不審なウェブサイトやメールに注意
怪しいサイトを閲覧する際や送り主が不明なメールに添付されているファイルやURLをクリックしてしまうと、マルウェアなどに感染して機密情報を盗まれたり、第三者に遠隔操作されてしまう可能性があるので注意が必要です。
公共のWi-Fi
カフェや駅の公共のWi-Fiは、セキュリティ面が脆弱なものが多く、接続するとマルウェアに感染、もしくは個人情報が盗まれてしまう可能性があります。特にクレジットカードやオンラインバンキングの口座情報などの入力は避け、なるべくVPNに接続するようにしましょう。
セキュリティソフトを導入する
お使いのデジタルデバイスに信頼性の高いセキュリティソフトを導入することで、マルウェアをはじめとする外部からのサイバー攻撃から保護することができます。なかでもマカフィーは、オンライン上のセキュリティ面だけでなく、プライバシーを保護するために様々な優れた機能を兼ね備えているので、より安心してインターネットを使用することができます。
各デバイス毎の対策
ダウンロードした覚えのないアプリには要注意
スマホ、パソコン、タブレットに共通して注意したいのが、デバイス内に自らインストールした覚えのないアプリがある場合です。マルウェアなどが仕掛けられている可能性があるので、決してクリックせず、すぐにアンインストールするようにしましょう。
アプリのダウンロードは公式ストアからのみする
アプリをダウンロードする場合、iOSはApp Store、AndroidはGoogle Playストアからするようにしましょう。ただし、Google Playストアは、Appleストアと比べてセキュリティ面が甘いので、なかには悪意のあるアプリが存在している可能性もあるので、たとえGoogle Playストアのアプリでも信用し過ぎないようにしましょう。
使用していないIoTデバイスの電源は切る
使用していないIoTデバイスでもインターネットに接続されたままの場合、知らないうちに第三者に不正にアクセスされてしまう可能性があります。もし、使用していないIoTデバイスを持っている場合は電源を切り、インターネット接続を解除するようにしましょう。
外出先では周囲の人に注意
自宅以外の外では、誰があなたのデジタルデバイスを狙っているかわかりません。肩越しに画面を盗み見られ、パスワードや機密情報が第三者に知られてしまう可能性もあります。また、外出先でオンラインミーティングや対面で打ち合わせの際にも周囲の人に聞き耳を立てられていないかどうか注意しましょう。
※本記事はアスキーとマカフィーのコラボレーションサイト「せきゅラボ」への掲載用に過去のMcAfee Blogの人気エントリーを編集して紹介する記事です。
■関連サイト