デバイスのセキュリティ

12 記事

モバイル決済

モバイル決済の普及状況とセキュリティの課題

モバイル決済は現在、おかしな状況に置かれています。数年前の予測では、今頃は一部の地域でNFCによる決済がほぼ定着しているだろうと見られていました。人々が「近距離無線通信」(NFC)技術を使い、出先でコーヒーを買ったり、銀行口座からの直接引き落としをスマートフォンに内蔵の小さなチップに指示したりしていたはずでした。 間もなく2014年が訪れようとしていますが、新型iPhoneにNFCが搭載されるという噂は一度たりとも的中することがなく、そのたびに批評家たちは悲報を報じてきました。 最近の連邦準備制度の調査では、スマートフォンユーザーの22%がスマートフォンをバンキングに使用した経験があるとされています。 しかし、PayPal、Square、LevelUpなどのモバイル決済アプリが広く使われるようになったにもかかわらず、スマートフォンで定期的に商品やサービスを購入するユーザーはわずか15%です。とてもモバイル決済が定着したとは言えません。 その理由を探るため、先日数社の最高経営責任者(CEO)やモバイルバンキング担当ディレクターが、ITの聖地サンフランシスコに集結し、モバイルをテーマにしたパネルディスカッションで討論しました。11月15日のMEF Global Forumのディスカッションでは、パネリストらは自分たちが直面している課題を説明し、電子マネーの安全性について議論し、今後の業界の方向性について質問を交わしました。 Barclaysのモバイルバンキング担当ディレクターであるダレン・フォウルズ(Darren Foulds)氏は、パネルディスカッションの開始早々、テキストメッセージを例にとり、モバイル決済がどれだけ普及したかを指摘しました。 世界最大級の銀行Barclaysは昨年、Pingitというモバイルバンキングアプリを発表して大きな注目を集めました。Pingitには同様の目標があり、テキストメッセージを送受信するのと同じくらい簡単に、スマートフォン間で送金できるようにすることを目指しています。 しかし、技術の採用は順調に進む時期もあれば停滞する時期もあり、英国でも一進一退の状況が続いています。一方、米国では、スマートフォンを使った商品の購入や送金は英国ほど受け入れられていません。 意外なことではありませんが、セキュリティに対する懸念が、モバイル取引の本格普及を妨げる障壁の1つになっています。 PCやラップトップと同様に、いまやモバイルデバイスもマルウェアやサイバー犯罪者の標的となりました。クレジットカード番号を狙う悪意あるアプリは、AppleのApp StoreやGoogleのGoogle Playの片隅に今でも潜んでいます。モバイルマルウェアはこの2年間で爆発的に増加しており、Kaspersky Labの研究者は今夏、極めて高度なAndroidマルウェアをいくつか発見しました。 セキュリティに対する懸念が、モバイル取引の本格普及を妨げる障壁の1つになっています スマートフォンを紛失したり置き忘れたりするとどうなるかは、言うまでもありません。スマートフォンには、友人のメールアドレス、会話、写真といった重要な情報が保存されています。銀行の情報まで保存したら、スマートフォンをなくすのは財布をなくすのと同じことになるのではないでしょうか? 最近PriceWaterhouseCoopersは、モバイル決済に対する抵抗について調査を行いました。これによると、回答者の85%がスマートフォンの盗難を心配しており、79%が支払い情報を無線接続で送信するときに情報を盗まれるのを恐れ、74%が一箇所に情報を集めすぎることに不安を感じていることがわかりました。 シリコンバレーで決済プラットフォームを手がけるBraintreeのモバイル担当ジェネラルマネージャー、アンクール・アーリア(Aunkur Arya)氏は、こうした懸念の大半は必要以上に深刻に捉えられていると考えています。 アーリア氏はパネルディスカッションで、「これは一般のメディアが考えているより、ずっとずっと小さな問題だと思う」と述べ、「磁気ストライプの付いたプラスチック製カードの方が、2段階認証を採用したデバイスより安全だという考え、…その考え自体が不合理なもの」だとしました。 2段階認証とは、Webサイトやメールへアクセスするときに、いつものパスワードだけでなくランダムな数字コードの入力を求める付加的なセキュリティ対策です。近年ではFacebook、Google、Twitterなどのサイトで導入されました。 アーリア氏は、電子マネーの普及に伴ってある程度の問題が発生するのは避けられないものの、現在進行中であるデジタル化への移行は「発想の転換」と捉えるべきだと指摘します。 VISA MobileのCEOを務めるハンネス・バン・レンズバーグ(Hannes Van Rensburg)氏は、モバイル決済の導入によるセキュリティの問題は、教育の問題ほど深刻ではないと主張します。 バン・レンズバーグ氏は、「消費者は自分が理解できないものに対して不安を抱くもの」と述べ、セキュリティ侵害など何か問題が起きたときにどうなるかを企業がもっとうまく説明できれば、状況は改善されると付け加えました。 安全な決済のために電話番号を使用する決済システムを擁するBoku。同社でモバイル決済部門を率いるケビン・グラント(Kevin

ホームネットワーク-featured

ホームネットワークも接続デバイスも、まとめて保護しよう

ホームネットワークを保護するのは、構築するのと同じくらい骨の折れる仕事です。ワイヤレスルーター1台とラップトップ1台という構成のホームネットワークなら話は簡単ですが、ルーター1台、コンピューターとモバイルデバイスが数台、さらにワイヤレスネットワークプリンター、スマートテレビ、Wi-Fi対応セキュリティシステムといったさまざまなデバイスで構成されるワイヤレスネットワークとなれば、格段に難しい作業になってしまいます。一般的に、家庭において接続されるデバイスが増えれば増えるほど、保護するのは難しくなります。少なくとも今は。ただ、こうした接続デバイスの諸々は「モノのインターネット」が進化するにつれて合理化されていくのではないかと個人的に思っていますが。 混乱を避けるために、あなたのホームネットワークがとてもシンプルな構成だとしましょう。ルーターが1台と、コンピューターとスマートフォン(またはタブレット)が数台あるとします。もしかすると、ネットワークプリンターが1台か2台、娯楽用のスマートテレビが1台と、Xboxなどのワイヤレス接続ゲーム機も繋がっているかもしれませんが。 一番よくあるパターンは、これらすべてのデバイスをルーター経由でWebにワイヤレス接続することです。したがって、ルーターが家庭内のすべてのインターネット通信のハブということになります。そう考えると、ルーターが保護されていなければ、他のすべてのデバイスも保護されないというわけです。イーサネットケーブルを何本も組み合わせて、すべてのデバイスをルーターに有線接続することも可能と言えば可能ですが、安全性は非常に高いとしても、まったく不便になってしまうことは言うまでもありません。 では、まずルーターについてお話ししましょう。もちろん、ワイヤレスネットワークは推測されにくい自分だけのパスワードで保護したいものですね。新しいルーターのほとんどは、ゲスト用ネットワークをセットアップする機能を備えています。どうぞ使ってください。ゲスト用ネットワークには固有のパスワードを設定し、家を訪れた人がインターネットにアクセスしたいと言ったら、ゲスト用ネットワークにログインしてもらいましょう。こうすることで、自分がいつも使うネットワークで許可されるデバイスを少しだけ強くコントロールすることができ、よく知らないマシンは基本的に、自分が使わない別のネットワークに隔離することができます。 ルーターは家庭内のすべてのインターネット通信のハブ。そう考えると、ルーターが保護されていなければ、他のすべてのデバイスも保護されないというわけです。 ルーターが生成したワイヤレスインターネット接続の保護は、パスワードだけでは十分ではありません。市販のルーターのほとんどには、管理パネルが用意されています。管理パネルを表示するには、いくつかあるIPアドレスの1つをブラウザーのアドレスバーに入力します。Googleなどの検索エンジンで、ルーターのモデル名と「IPアドレス」というキーワードで検索すると、IPアドレスがわかります。そのIPアドレスをアドレスバーに入力して数秒待てば、ユーザー名とパスワードを入力するように表示されます。ユーザー名はおそらく「admin」で、パスワードもおそらく「admin」でしょう。ユーザー名とパスワードの組み合わせがわからなければ、またしても検索エンジンの出番です。Googleなどで検索してみてください。きっと見つかるでしょう。本当です。 ルーターのバックエンドに行き着いたら注意してください。あまりいじくりまわすのはおすすめできません。ということで、ワイヤレスネットワークに設定されているパスワードと、ルーターの管理パネルのパスワードは別になっています。ルーターのバックエンドに入ると、ワイヤレスセキュリティのセクションで、ワイヤレスアクセスのパスワードを平文で見ることができます。色々と言いましたが、まとめるとこういうことです:ワイヤレスネットワークのパスワードを知らなくても、攻撃者が既定のパスワードとユーザー名でルーターにアクセスできてしまう場合があり、ワイヤレスアクセスのパスワードを平文で見られる可能性、パスワードが変更される可能性もあります。したがって、管理パネルのアクセスパスワードはあなた自身が変更しておかなければなりません。 ルーターによっては、バックエンドに行ってパスワードを変更するように要求されることもあります。私のルーターには、バックエンドのユーザーインターフェイスに管理タブがあります。そのタブをクリックすると、[ルーターのパスワード]と[再入力して確認]という2つのフィールドが表示されます。やることと言えば、[ルーターのパスワード]というフィールドに一意の強力なパスワードを入力し、同じパスワードをもう1つのフィールドに入力して、設定を保存するボタンをクリックするだけです。多くのルーターにはセットアップウィザードも用意されており、最初にルーターをセットアップするときにパスワードの設定が求められます。 まだバックエンドにいるなら、[ワイヤレス]というタブがあるはずです。そのタブに移動して、ワイヤレスセキュリティのセクションをちょっと探してみましょう。ここがWi-Fiアクセスパスワードを平文で見ることのできる場所です。ここには、使用している暗号化の種類も表示されるはずです。新しいルーターのほとんどはWPAやWPA2に設定されています。それならいいのですが、古いルーターだと、WEPを使用しているか、これを使用するように設定されているかもしれません。WEPは簡単に破られてしまい、攻撃者にあなたのトラフィックを監視される恐れがあります。WEPに設定されていたら、WPAかWPA2に変更してください。WEPから変更できない場合は、新しいルーターを買った方がいいでしょう。 管理機能へのワイヤレスアクセスを完全に無効にすることもできます。つまり、バックエンドの管理パネルにアクセスするには、イーサネットケーブルを直接ルーターに接続しなければならないように設定することができます。現在執筆中の記事で、ルーターの保護に関してユーザーができることを詳しく紹介する予定です。Kaspersky Dailyでその記事が公開された際は、ぜひご覧ください。 次は、ネットワークに接続されるコンピューターとモバイルデバイスについてお話しします。1台のコンピューターが感染すると、そのコンピューターが接続されているネットワークにさまざまな経路から影響が及ぶことがあります。理論上、各種コンピューターとネットワーク自体の関係によっては、感染がネットワークを渡って別のマシンに行くこともあり得ます。さらに、キーロガー(キー入力を記録するマルウェアの一種)によって攻撃者にワイヤレスパスワードを特定されてしまい、ネットワークとルーターに侵入されて、中間者攻撃を実行される恐れもあります。 実際に、私が数年前に住んでいたマンションで、とある教師が児童ポルノのアップロードとダウンロードを行っていました。気の毒なのは、この教師の隣に住んでいた男性です。この教師はどうにかして隣人のワイヤレスパスワードを特定し、隣人のワイヤレスネットワークからインターネットに接続していました。その隣人のパスワードがぜい弱だったか、教師が何らかの方法でパスワードを傍受したのでしょう。とにかく、ある日、米国土安全保障省(DHS)とFBIが捜査令状を持って、無実の隣人の家にやってきました。手錠をかけられて部屋から引きずり出された隣人は、捜査官が彼の部屋とそこにあるすべてのものを捜索している間、尋問を受けました。隣人のネットワークとコンピューターを分析した結果、悪意のあるトラフィックは隣人のコンピューターから出たものではなく、実際には隣の教師のものだったことがすぐに判明しました。 これは少し極端な例ですが、同じようにあなたのコンピューターの1台がマルウェアに感染してボットネットの一部になった場合、そのコンピューターが何をやっているかを知る術はありません。そのボットネットは、あなたのIPアドレスとあなたのコンピューターの処理能力を利用して、さまざまな卑しい違法行為に及んでいるかもしれません。その悪意あるトラフィックを生成しているのが、ボットネットではなくあなただと誤解されて、警察にマークされてしまう可能性もあります。 このような理由と、他にも無数にある理由から、ネットワーク上のコンピューターも確実に保護しなければなりません。ネットワークのセキュリティの強度はルーターのセキュリティと同程度でしかないというのは確かにその通りですが、同じように、ルーターのセキュリティも接続されるコンピューターと同じ強度しかないということも事実です。端的に言えば、そもそもルーターの設定には自分のコンピューターを使ったはずです。もっと言えば、コンピューターのセキュリティが侵害されているのなら、ルーター自体のセキュリティがどんなに堅牢だったとしても、誰かがすでにネットワーク内にいるということです。したがって、強固なセキュリティ製品を動作させておく必要があります。コンピューター上だけでなく、モバイルデバイス上にもです。 ハードウェアとソフトウェアの更新が提供されたら(そのことに気づいたら)、コンピューター、スマートフォン、タブレット、プリンター、ルーターにインストールしましょう。テレビやゲーム機など、更新を受け取る可能性のあるものは、すべて同様です。私が読んだ記事や書いた記事で取り上げられるほぼすべてのマルウェアとエクスプロイトキットは、パッチが適用された既知のぜい弱性を標的としています。もう一度言わせてください。私が知るほとんどのマルウェアは、影響を受けたベンダーがすでにパッチを適用したぜい弱性を悪用します。つまり、更新をインストールすればこうした脅威の大半から身を守ることができるのです。問題は、あなたや私のような人たちが(他の人も皆そうですが)、ソフトウェアの更新を嫌がることです。安全を守るためのアドバイスを1つするとしたら、それは更新をインストールすることです。ホームネットワークを保護するためには、接続されるすべてのデバイスを保護する必要があるのです。 むしろ、スマートテレビ、ゲーム機、ネットワークプリンターについては、更新のインストール以外にできることがあるのか、私にはわかりません。7月にラスベガスで開催されたBlack Hatセキュリティカンファレンスで講演や記者会見をいくつか見ましたが、研究者はスマートテレビのセキュリティ侵害をいくつもデモしていました。こうしたデバイス向けのセキュリティ製品はまだ誰も作っていません。そのため、ユーザーにできるのは、ベンダーがこうした研究に関心を持って、バグを修正し、影響を受けたデバイスにパッチを提供することを期待することくらいです。この分野での明るい材料は、こうした研究者のほとんどが、研究内容の詳細を一般公開する前にベンダーに知らせていることです。セキュリティ研究者とテクノロジー企業が協力して、データを公開する前に製品のバグを修正することが、以前よりも一般的になりつつあります。 重要なのは、ネットワークに接続するデバイスにはできる限りのセキュリティ手段を適用することです。ネットワークは最もぜい弱なリンクと同じくらいの安全性しかありません。パスワードで保護し、更新をインストールして、セキュリティ製品を実行しましょう。いつものように、このブログや他のセキュリティブログを読んで、脅威についての最新情報を入手してください。