企業にとって、サイバーセキュリティ上、最も脆弱性が心配されるものの1つがモバイルデバイスです。ところが、モバイルデバイスを経由したデータ侵害を防御するための対策はほとんどとられていないのが実情です。モバイルデバイスを経由したデータ侵害には、大きく5つのタイプがあります。
筆者が以前書いたサードパーティーAPIに関するブログでは、サイバー攻撃が集中化し、ち密に計画されていることに触れました。犯罪グループのリサーチャーは、企業のシステムを調査し、対象となるサーバー上の脆弱なパッケージやツールを時間をかけてチェックします。モバイルデバイスは見落とされがちですが、企業が使うデータに脆弱性を付加してしまう危険があります。
Checkpoint 2019 Cyber Security Report によると、IT管理者の59% が、マルウェア、悪質なアプリ、中間者攻撃、システム脆弱性などの主要な脅威を検出できるモバイル脅威防御ソリューションを使用していません。調査対象となったIT管理者のうち、モバイルデバイスに対する脅威を重大なセキュリティリスクと見なしていたのはわずか9%でした。しかし、マルウェアは、保護されていないモバイルデバイスから組織のクラウドまたはオンプレミスネットワークに広がる可能性があり、企業のセキュリティ上の脆弱性が利用される可能性があります。
今日のスマートフォンには、個人情報のほかにも機密性の高いビジネス情報が含まれています。スマートフォンを介して、ユーザーがどこにいるのかが常にわかり、誰と何を話しているのか、ソーシャルメディアに何を投稿しているのかもわかります。個人写真、パスワード、会社のメール・アドレスや文書なども保存されています。モバイルデバイスへの攻撃は、通常は簡単で、しかもその成果は犯罪者にとって大きな利益を生み出す可能性があります。今日では、業務活動のためにコンピュータよりもスマートフォンを多用する場合さえあります。
1. 中間者攻撃
空港やホテルなどの公共 WiFi ネットワークは、クレデンシャル情報、電子メール、Webフォームに記入されたデータなど、WiFi ネットワーク経由で送信されるデータをキャプチャする中間者(Man-in-the-Middle、MitM)攻撃を仕掛ける機会を生み出します。MobileIron の Global Threat Report によると、2018年上半期に、保護されたデバイスの15%が MitM 攻撃を受けたことがわかりました。企業向けのセキュリティ会社である Wandera による調査では、企業のモバイルデバイスによる Wi-Fi 利用は、携帯電話データ利用の場合の3倍近くだったことがわかりました。全組織の半数以上(55%)で、1人以上のユーザーが危険なホットスポットに接続していました。
2. 不正なアプリ
認可されていない、または不正なアプリケーションをインストールすると、サイバー犯罪者がモバイルデバイスから情報を収集するためのドアを開くことになるかもしれません。Verizon の Mobile Security Index 2019 レポートによると、アプリケーションのインストールを Apple の Mac App Store や Google Play Store などの広く認知されているアプリストアからのものだけに限定していると回答した組織は40%に過ぎません。また、Apple も Google もアプリストアにリストされるアプリの振る舞いを取り締まってはいますが、絶対確実とは言い切れません。昨年秋に問題が判明してApple がリストから外した Adware Doctor は、インストール時にブラウザの履歴を収集し、それを不正なサーバーにアップロードしようとするものでした。
便利な機能を求めて様々なサイトからアプリをインストールするユーザーは少なくありませんが、中には密かにサイバー犯罪者にデータをアップロードするアプリもあります。組織のモバイルデバイスにアプリをインストールするのを完全にブロックしている企業はわずか3%です。Wandera のモバイル脅威に関するレポートによると、サイドロードされたアプリケーションが1つ以上インストールされているデバイスを持っている組織の割合は35%にも達します。
3. データ漏洩
サイバー犯罪者がデータを入手する手段の1つにデータ漏洩の利用があります。Verizonによると、1つの会社で少なくとも2年に1回データ漏洩が発生する可能性は28%です。データ漏洩が発生する主な原因には次の2つがあります。
1つ目は、ユーザーが誤ってアプリに情報の表示や転送を許可してしまう、不適切なアプリ設定です。最近の例としては、フィットネスアプリ Strava があります。ユーザーは FitBits、携帯電話、その他のフィットネス追跡デバイスからのGPSデータを使って自分の走っているルートを共有することができます。このアプリは、グローバルヒートマップを通して他のアスリートとこの情報を共有できますが、兵士たちがこのアプリを使ってランニングしたため、たくさんの兵士ランナーが集中するヒートマップができました。知られている米軍基地だけでなく、機密度が高いために明らかにされていない地域の基地も推測できてしまう可能性があります。(国防総省は、後に、安全確保のためにこれらのアプリに関するポリシーを見直しています。)
データ漏洩の2つ目の原因は偶発的な開示です。モバイルデバイスのディスプレイは小さいので、ユーザーが目にできる情報量が少なくなり、気づかないまま情報を誤ったメールアドレスに送信してしまうことがあります。これは、特に医療分野でよく起きる問題で、報告されているデータ侵害の最大の原因と考えられています。
4. ソーシャルエンジニアリング
モバイルデバイスを経由したデータ侵害の最大の原因はソーシャルエンジニアリングです。サイバー犯罪の91%は電子メールで始まりますが、モバイルデバイスでは送信者の名前しか表示されないため、知っている誰かからのメールだと勘違いさせることは簡単で、リスクが高くなります。従業員数1,000人以上の企業がフィッシング詐欺にあう可能性は85%に達し、従業員数が増加するとその可能性はさらに高まります。多くの場合、気付かれないうちにマルウェアが展開され、クレデンシャル情報が盗まれ、リモートアクセスを獲得されてしまいます。そしてデータが盗まれ、さらにセキュリティ侵害が進行します。
5. デバイスの紛失と盗難
このリストにデバイスの紛失と盗難を含めなければ、片手落ちでしょう。Kensington は、毎年7,000万台のスマートフォンが紛失または盗難にあっており、回収されたのはわずか7% だという調査結果を発表しています。この調査では、企業所有のスマートフォンの4.3%が毎年紛失または盗難にあっていることも報告されています。また、Verizonのレポートによると、すべての携帯電話やタブレットの1〜2%にロック画面が設定されておらず、従業員数500〜999人の企業の Android デバイスの 5% にロック画面が設定されていません。モバイルデバイス管理ソリューションを使用している企業でも、すべてのデバイスにロック画面を設定するよう徹底しているのは48%です。簡単なことなので、モバイルデバイスはロックしてください!
まとめ
モバイルデバイスは、脆弱なリンクである上、利用できるデータは高い価値を持っているので、サイバー犯罪者の格好のターゲットになります。考えられる対策はいくつかあります。まず、VPN を使用することで、公共 WiFi を介した MitM 攻撃を回避可能です。そして、アプリケーションをダウンロードする場合は Apple や Google のアプリストアのものに限定するといったポリシーは策定すべきでしょう。ユーザーがアプリに与えるパーミッションに問題がないか、注意してください。さらに、アプリの動作を監視するツールを使用することもできます。社内ユーザー向けに、モバイルデバイスに対する脅威をしっかり認識してデータ漏洩を防止する方法を体得できるような教育プログラムを作成することも検討してください。