モバイル・デバイスのセキュリティに関しては、世界中のセキュリティ専門家が同じ過ちを犯しています。それは、状況が変わったにもかかわらず、過去に成功した戦略や戦術に固執することです。
モバイル・デバイスは、常に変化し続ける攻撃対象です。スマートフォンやタブレット端末などの企業への導入が進むにつれ、情報セキュリティ責任者は、モバイル・デバイスへの対応戦略の策定に躍起になっています。しかし、多くの場合、その努力は実質的な効果を上げていません。例えば、マルウェアに焦点を当てたモバイル戦略が策定されていますが、効果的なモバイル・セキュリティ戦略は、アプリケーション・データの侵害、高度な攻撃、インサイダーの脅威にも同時に対処できなければなりません。このように、攻撃手法が刻々と変化する中で、組織にはセキュリティに関する新しい考え方が必要なのです。
モバイルマルウェアの動向
マルウェア以外にも検討すべき問題は数多くありますが、マルウェアそのものを無視することはできません。なぜなら、攻撃者は今後もマルウェアを使って機密データを盗み続けるからです。モバイル・デバイスやデジタル環境が変化すれば、マルウェアも変化します。また、仮想化の台頭により、仮想環境で実行されているかどうかを検出し、それに応じて動作を変更する、より巧妙なマルウェアも登場しています。
モバイルデバイスが持つ高度なセンサーのおかげで、この種のマルウェアも目にすることができます:デバイスのセンサーが特定のパラメータを満たしていることを検知した後、完全に正当なアプリケーションを装うことができるのです。このスパイ的なシナリオを想像してみてください。このアプリは、あなたの携帯電話のジオロケーションセンサーが、あなたがワシントンD.C.のFBIから500フィート以内に位置していることをアプリに伝えるまで、完全に合法的なゲームのように振る舞います。
マルウェアは一般的な脅威であるため、メディアやIT専門家から注目を集めています。Android 端末には多くの脆弱性があることが知られていますが、その主な原因は、Google Play ショップ以外で配信されたアプリを実行できることにあります。また、悪意のある攻撃者は、Googleのセキュリティチェックを迂回する賢い方法を考え出しました。昨年4月、BadNewsと呼ばれるAndroidマルウェアが、Google Playからダウンロード可能な32個のAndroidアプリの全てから発見されました。このマルウェアは、GoogleのBouncerサーバサイドスキャンとAndroid端末のネイティブアプリ検証機能を回避し、広告ネットワークを通じて「後日、使用された」モバイル端末に配布されました。このマルウェアは、追加のアプリをダウンロードしたり、保険料のSMS詐欺に使われる「重要なアップデート」のインストールを被害者に促したりします。このマルウェアの存在を知ったGoogleは、直ちにこのアプリを削除しました。
シスコの「2014 Annual Security Report」によると、2013年にはモバイル端末を標的としたマルウェアの99パーセントがAndroid端末を標的としていました。また、別の統計によると、少し異なる話もあります。GoogleのAndroidセキュリティ担当チーフエンジニアであるエイドリアン・ルートヴィヒ(Adrian Ludwig)氏は、昨年10月、同社が分析した15億インストールのうち、潜在的に有害と判断されたのはわずか1,200件であったという調査データを発表しました。Androidがマルウェアに攻撃されるケースが増えているという見方が広まっているにもかかわらず、Androidの人気と市場シェアは世界中で急成長を続けています。
一方、Appleは通常App Store以外でのアプリのインストールを許可していないため、iOSデバイス上でマルウェアを配布することは難しくなっています。しかし、セキュリティのこの "壁に囲まれた庭 "は、彼らのデバイスを脱獄するために多くのユーザーを駆り立てており、それは最近、iOS 7用のevasiOn脱獄がマルウェアを含んでいたことが報告されました。クリエイターはこれを否定していますが、それはそのような脱獄も攻撃を含むことができることを露呈するために長い道のりを歩む.
脆弱なアプリケーションは高リスク
マルウェアは最も注目されていますが、研究者はそれだけが脅威ではないことを知っています。そもそもアプリケーションが悪意を持って設計されていないからといって、それが安全であるとは限りません。マルウェアだけにセキュリティを集中させることで、組織はより一般的な脅威、つまり安全でないアプリケーションによるデータ漏洩を見落としがちです。
図1
100の一般的なアプリケーションが、パスワードやその他の機密データをメモリ内に保持しているかどうか、またその他の一般的なセキュリティ問題など、中間者攻撃やSSL攻撃の脆弱性について最近テストされました。その結果、ほとんどのアプリケーションが1つ以上のカテゴリーで「高」のリスク評価を受けたことが判明しました。
Appthorityが同様の調査を行ったところ、AndroidとiOSの無料アプリのトップ200のうち95%に危険な行動が見られました。どのアプリカテゴリーもリスクを免れていないようです。さらに、IOActiveは最近、世界最大の金融機関が提供する40の消費者向けモバイルバンキングアプリを分析し、90%が攻撃に対して脆弱であることを明らかにしました。
モバイル機器を狙う高度な攻撃
高度な攻撃者は、ボタンをクリックするだけで、企業の取締役会を盗聴することができます。内蔵カメラも同様に、リモートで企業スパイ用のデバイスとして再利用することができます。モバイルデバイスのUSBハードウェアを使用すれば、スマートフォンを手動キーボードに変えて、ファイアウォールやその他の従来の防御をバイパスすることができます。IT担当者であれば誰もが、スマートフォンのデータが漏洩する可能性があることを知っていますが、その主な原因が、ハードウェアが遠隔操作可能であること、そしてモバイル・デバイス自体が攻撃のベクトルとして使用可能であることに気づいている人はほとんどいません。
内部脅威
包括的なモバイル・セキュリティ戦略は、組織内のセキュリティ脅威にも対処しなければなりません。この種の脅威から組織を守ることは非常に困難です。モバイル・デバイスは多くの場合、複数のネットワークにまたがり、ファイアウォールの反対側で動作します。モバイル・デバイスは複数のネットワークにまたがり、ファイアウォールの反対側で動作していることが多く、最小限の管理アクセスしかなく、アクティビティに対する可視性も限られており、特権アカウントもありません。
組織によっては、特定の電子メールやファイルが指定されたネットワーク外の人に転送されないようにするなど、高度な技術に投資し始めています。これは良い防御策ですが、スマートフォンのスクリーンショット機能を使えば、機密データを共有したい人は、単にイメージを傍受し、そのデータを誰とでも共有することができます。
モバイルセキュリティ2.0に基づくプロアクティブポリシー
では、組織はどのようにしてあらゆる脅威から身を守ればよいのでしょうか?悪いニュースは、完璧な解決策はないということです。しかし、良いニュースは、組織をより安全にするための対策があるということです。セキュリティの専門家は、静的なシグネチャによるセキュリティ対策に頼ることが多いですが、モバイル・セキュリティの場合、そのような対策は拡張性がありません。
モバイルの安全性を維持することは、可視性を向上させることです。そのため、企業はモバイル・デバイスとアプリを監視する必要があります。ここで知っておくべきことがあります:
従業員は自分の携帯電話をどうしていますか?
情報はどのように保存されるのですか?
データの送信先は?
従業員が機密情報をPSではなくHTTPで送信していませんか?
行動パターンや異常を監視する必要があります。四半期ごとの財務報告書が作成された直後に、特定のユーザーが大量のデータを Dropbox にアップロードしていませんか? そのような行動を追跡する必要があります。
企業は、モバイルデバイスがどこにでもあるという事実に適応しなければなりません。モバイル・デバイスのリスクを無視することで、企業はデータ漏洩事故、顧客の信頼喪失、収益の損失、規制違反などのリスクを負うことになります。同時に、セキュリティ専門家は、マルウェアに焦点を当て、プロアクティブな戦略を策定することから、モバイル・デバイスがもたらすあらゆる脅威に対処することに移行しなければなりません。今後も、巧妙な攻撃者はテクニックを進化させ続けるでしょう。
