モバイル接続の時代において、BYODは、コンピューティング機能だけでなく、メッセージングや音声機能も備えたスマートフォンやタブレットなどのモバイル・プラットフォームにリスクをもたらします。通常、これらのモバイル・デバイスには大容量のストレージも搭載されており、データ漏えい、マルウェア、未承認アプリケーション、不適切なアクセスなど、組織にとってハイブリッドな脅威となります。スマートフォンやタブレットなどの多くのモバイルデバイスは、ユーザーの視点から設計されています。これらはユーザーフレンドリーであり、多くの場合、オペレーティングシステムの一部として、ユーザーをさまざまな脅威から保護するためのセキュリティモデルが組み込まれています。生産性を第一に考え、セキュリティは二の次です。しかし、いくつかのセキュリティ機能が組み込まれています。
しかし、このようなリスクは組織にとって避けられないものであり、経営幹部が真剣に取り組む必要があります。本稿では、企業向けモバイルデバイスに関連する主なリスクについて、デバイス自体およびデバイス上で実行されるアプリケーションの両方について考察し、適切な対策を決定するために組織がリスクを明確に理解する必要性について説明します。
BYOD リスクの分類
モバイル機器に影響を与えるセキュリティリスクは、2つのカテゴリーに分類されます:
デバイス・リスク:これは、今日のスマートフォンやタブレットが、実際にはローカルおよびクラウドベースのストレージを備えた新種の高性能コンピュータであり、今日の企業組織がこれらのモバイル・デバイスを管理できる可能性は、より伝統的で分かりやすいデスクトップ・コンピュータやラップトップ・コンピュータよりも低いという事実に基づいています。
アプリケーション・リスク:このリスクは、エンドユーザーがインストールしたサードパーティ製アプリケーションから発生します。サードパーティ製アプリケーションは、企業データにアクセスし、デバイスに保存し、企業の境界外にアップロードすることがよくあります。
設備リスク
スマートフォンやタブレットは、本質的にコンピュータと見なすことができるため、コンピュータと同じ脅威の影響を受けやすくなっています。これらの脅威は、基礎となるオペレーティングシステムの脆弱性を悪用して、データの損失や盗難を引き起こしたり、設定を変更したり、サービスをブロックしたり、保護された内部ネットワークに侵入したりします。
コンピュータがマルウェアに感染するのと同様に、マルウェアもスマートフォンやタブレット端末に感染する可能性があります。マルウェアは、攻撃者がネットワークへの侵入やデータの窃取を行うためのプラットフォームを形成します。侵害されたモバイルデバイスは、ネットワークに侵入してデータを窃取するための絶好のツールとなり得ます。特に、組織内で重要な脅威と見なされていない場合は、コンピュータのワークステーションほど保護されていません。
次のセクションでは、デバイスに存在するその他の脅威について説明します。
データ保管リスク
最近のスマートフォン、カメラ、タブレットには大量のフラッシュメモリが搭載されており、USBポート経由で使用することができるため、データ窃盗犯は無言でファイルをコピーすることができます。モバイル機器には非常に多くの記憶容量があるため、多くの組織ですべてのデータを盗むために使用することができます。モバイル・デバイス上のデータ・ストレージは、巨大な網で漁をするように、大量のデータを簡単に一括ダウンロードすることができ、データ窃盗犯は収集したファイルから貴重な知識を必ず見つけ出すことができます。このようなデバイスは、ハードディスクやメモリースティックよりも「見えにくい」ため、その中に隠された盗難データを発見することが難しく、組織のデータにとって深刻な脅威となる可能性があります。モバイル・デバイスのオンボード・メモリ・ストレージは、通常、ストレージ・デバイスとしてあらゆるコンピュータにインストールすることができます。つまり、データのコピーに使用され、データの盗難や悪用につながる可能性があります。モバイル・デバイスがデータにアクセスできるようになると、組織による管理が難しくなります。また、電子メールの添付ファイルやその他のアプリケーションを通じてデータが盗まれたり、悪用されたりする可能性もあります。
脆弱なパスワードのリスク
コンピューティング・プラットフォームが基本的にデータとリソースのサービスを外部に提供するものであることを考えると、プラットフォームが接続認証にパスワードを使用するエンドユーザをサポートしている場合、攻撃者は推測や傍受によってユーザのパスワードを入手することができ、その場合、モバイルデバイスはコンピューティング・プラットフォーム上のユーザのデータとリソースを攻撃するための入口となります。パスワードがあれば、スマートフォンやタブレットにアクセスして電子メールを読むことは比較的容易であるため、これは電子メールにとって特に重要です。
WI-FIハイジャックのリスク
中間者攻撃と同様に、WI-FIハイジャッキングは、空港、コーヒーショップ、公園、市街地など、ユーザーが一般的に無料ワイヤレスを期待する公共の場所に設置された無料WI-FIホットスポットを利用して、悪意のある攻撃者によって実行されます。しかし、これらのホットスポットは、個人情報、財務データ、パスワードの取得を期待する攻撃者によって監視されていることがよくあります。
ホットスポットリスク
モバイル・デバイスを使用してコンピュータをテザリングしたり、ワイヤレス・ネットワークとして機能させたりすることで、周囲のコンピュータが通常のWI-FIやBluetoothアクセス・ポイントのようにそのワイヤレス・ネットワークを使用してインターネットにアクセスできるようになります。また、近くにいる攻撃者は、エンドユーザーの個人的な使用のために、これらのモバイルデバイスによって作成されたホットスポットに接続することができ、ユーザーの知らないうちに、ローカルネットワークとそのデバイスへの攻撃を開始することができます。
ベースバンド・タッピング・リスク
スマートフォンにはネットワークと音声機能の両方が搭載されているため、ネットワークを利用して音声機能を侵害することができます。携帯電話は、スマートフォンを侵害するサイバー攻撃者によって傍受される可能性があります。このような攻撃は、iPhoneやAndroid端末で使用されているハードウェアやファームウェアなど、スマートフォンの基盤となるハードウェアの脆弱性を利用します。 このような攻撃は、スマートフォンのベースバンドプロセッサーを利用し、それを破壊して盗聴器に変え、侵入者が会話をしていないときでも内蔵マイクを使って会話を盗聴できるようにします。
Bluetooth盗聴とファズ・テスト
ほとんどのエンドユーザーは、BluetoothデバイスのPINコードをデフォルトのPINコードに設定しています。高度な技術者でさえ、この部分についてあまり研究しておらず、これらのコードを変更する方法さえ知らないかもしれません。その結果、攻撃者は簡単に携帯電話やデバイスを照合し、接続を利用してデータを盗んだり、傍受したりすることができます。さらに、「ファズテスト」と呼ばれる攻撃は、Bluetoothのペアリングを介して実行することができます。ファズテスト攻撃は、Bluetoothデバイスに内在するソフトウェアの脆弱性を利用し、不正なデータを送信することで、クラッシュ、権限の拡大、マルウェアを埋め込んだ侵入などの異常な動作を引き起こします。
アプリケーションリスク
モバイルデバイス向けのサードパーティアプリは、あなたがコントロールできない環境で、あなたが知らない人々によって書かれ、あなたは彼らの執筆プロセス、開発ライフサイクル、品質管理を見ることができません。ほとんど誰でもアプリをアプリショップにアップロードすることができます。これらのアプリは悪意のある可能性があり、組織内で確立されたセキュリティポリシーやセキュリティ標準を意図的または無意識に「バイパス」する可能性があります。
各アプリケーションに関連するリスクについては、後述します。
トロイの木馬
悪意のあるリンクを隠す
短縮リンクやリダイレクトリンクは、電子メールのリンクやウェブリンクを含む場合によく使われる方法で、複雑な位置情報で画面を埋める方法に取って代わります。これにより、ユーザーがリンクをクリックして場所を見つけるまで、最終的な場所はユーザーには見えません。さらに、画面に表示されるリンクのテキストは、特に電子メールの場合、ウェブコードに埋め込まれた実際のリンクとは異なる場合があります。 攻撃者はこのテクニックを使って、ユーザーを悪意のあるウェブサイトに誘導することができます。モバイルデバイスでは、リンクのテキスト上にマウスポインタを置くと実際のリンク先が表示されるコンピュータとは異なり、このような悪意のあるWebサイトにアクセスする際にユーザーがリンクを確認することは非常に困難です。
フィッシング
フィッシングは、モバイルデバイス上でもコンピュータ上とまったく同じリスクを示します。フィッシングは、偽の、しかし本物そっくりの情報が記載された悪意のある添付ファイルを含む電子メールやウェブリンクを送信し、エンドユーザーを騙して開封させるという一貫した手法を使用します。 この手口は、銀行口座番号、クレジットカード番号、ユーザー名やパスワードなどの個人情報を盗むために使用されます。
テキストメッセージ詐欺
フィッシング詐欺と同様に、SMS詐欺もテキストメッセージを使用して、疑うことを知らないエンドユーザーを音声通話に誘い、個人情報を引き出します。これらのテキストには、セキュリティ上の理由から詳細を確認したり、購入、返金、または支払いを確認したりするための、本物そっくりの要求が含まれています。
遠隔機器制御
現代の自動車はコンピュータ化され、ネットワーク化され、相互接続され、スマートフォンと相互運用できるようになっています。そのため、攻撃者はスマートフォンを攻撃することで、制御されたスマートフォンに接続された車両をリモートで始動、ロック解除、追跡、操作することができます。
