脅威

236 記事

モバイルリスク-featured

ポケットの中のコンピューターが抱えるリスク

長い歴史の中では、コンピューター自体が比較的新しいものなのだとしたら、モバイルデバイスは生まれたばかりのものということになります。同様に、私たちがこの20~30年間の大半を費やして従来型のコンピューターを保護する方法を研究してきたということは、モバイルのセキュリティにも非常に長い時間がかかるはずです。 スマートフォンやタブレットは、パーソナルコンピューターに搭載されている以上の機能を備えています。したがって、モバイルデバイスにはそれ固有のセキュリティの課題があります。しかし、さらに大きな問題となるのが、これらのデバイスがユーザーのポケットやカバンに入って、ユーザーが行くところほぼすべてに付いて来るということです。デスクトップコンピューターは机の上に置かれて電源コードで壁とつながっていますが、モバイルデバイスは簡単になくしたり置き忘れたりします。 コンピューターにおける脅威はモバイルデバイスの脅威とよく似ていますが、1つ重要な違いがあります。(ラップトップはともかくとして)コンピューターは持ち運びしないものです。しかし、スマートフォンやタブレットはどこにでも持って行きます。また、カメラやGPSを搭載していますし、デバイスの位置情報はモバイルサービスプロバイダーが常に追跡しています。モバイルデバイスからはメールも電話もするし、SMSベースのテキストメッセージだって送ります – 場合によっては、保護されていない無線接続を使って。支払い情報などの機密性の高い情報が大量に保存されており、オンラインショップにログインすることもよくあります。ふと思い立ってアプリをダウンロードすることもありますが、そのアプリの作成者のことはほとんど知りません。昔ながらのコンピューターと同じように、こういったものはすべて、既存のマルウェア(あるいは間もなく誕生しようとしているマルウェア)によって監視されているかもしれません。場合によってはこれらの情報が盗まれることさえあります。スマートフォンの攻撃対象領域(攻撃者の侵入手段の数)は従来型のコンピューターよりはるかに広いのです。従来型のコンピューターやラップトップを危険にさらす方法でさえ、把握できないほど存在しているので、その数は膨大になります。 両者に共通する脅威とは別に、モバイルデバイスにはコンピューターにはない危険もあります。 たとえば充電です。ほとんどのスマートフォンには、何らかのUSB接続型の充電ポートがあります。スマートフォンでは充電とデータの同期を同じコードで行います。理論上は、携帯電話のデータを充電器から盗むことが十分に可能なのです。突拍子もない話だと思いますよね。でも思い出してみてください。バーで飲んでいて電池が切れそうになり今すぐ充電したいというときに、バーテンダーに充電器を貸してほしいと頼んだことはありませんか?あるいは、空港で電池が切れかけたことは?わかりました。でも、自分が到着したことを知らせる手段がないと、迎えに来てもらえませんよね?誰も空港で缶詰にはなりたくありません。不本意ながら充電台に差し込んでお金を払いますが、充電台の持ち主は誰ともわからず、もしかするとスマートフォンに入っている貴重なデータを誰かに持って行かれるためにお金を払ったのかもしれません。 デバイスの紛失や盗難も、比較的モバイル環境特有のものであると言えます。もちろんラップトップをなくすこともあり得ますが、スマホやタブレットよりは大きいですし、忘れることも少ないでしょう。窃盗犯がコンピューターを盗むにしても、少なくともまず自宅やオフィスに侵入する必要があります。 昨年読んだDailyMailの記事に、米軍が開発した悪質アプリケーションの概念実証について書かれていました。そのアプリには、携帯電話のカメラを起動して写真や動画を撮影し、アプリ開発者に送り返す機能があるようでした。このアプリを動かすソフトウェアにも、写真を使って部屋の状況をわかるようにする機能があるそうです。攻撃者がこれらの機能を利用すれば、スパイ、情報収集、(自宅やオフィスに)強盗に入る前の下見が可能になるかもしれません。もちろん、多くのラップトップにもカメラが内蔵されています。しかし、繰り返しますが、ラップトップをポケットに入れて持ち運ぶことはありません。 同じように、研究者がスマートフォンのマイクを遠隔起動するのを見たことがあります。半永久的に動く諜報マシンのできあがりです。また、デバイスのGPSや位置情報サービスが悪用されると、ユーザーの行動のすべてが筒抜けになる可能性もあります。 デバイスのすべての通信内容を記録するマルウェアが携帯電話にインストールされることは十分に考えられます。攻撃者は通話を盗聴し、メールやテキストメッセージを読み、すべてのSNSアカウントのパスワードを盗んでいるかもしれません。最悪の場合、オンラインバンキングの認証情報を盗まれて、さまざまな被害が出てしまいます。たとえば、私があなたの銀行ログイン情報を手に入れたとしたら、銀行にもよりますが、あなたのパスワードを変更したり、残高を私の口座に全額送金したりできるようになる可能性があります。あるいは、その口座に関連するメールアドレスや住所を変更して、クレジットカードのコピーを私の家に送り、思う存分買い物し放題、ということも。もちろん私はそんなことはしませんが、そういうことを実際にやる輩がたくさんいるのです。 私は合い間合い間に子ども向けのスイミングのコーチをしています。ちょっと見渡してみると、多くの子どもがスマートフォンを持ち歩いています。私は犯罪者ではありませんが、そのスマートフォンに父親や母親のクレジットカード情報が保存されているのではないかと、ついつい気になってしまいます。つまり、多くの人が、機密情報がつまったデバイスを子どもに渡しているのです。子どもというのは、文字通り何でもなくしますし、子どもによっては(特に幼い子は)大人の言うことを何でも信じてしまいます。賢い人でなくても子どもはだませます。 犯罪者が携帯電話に侵入する手段もいくらでもあります。悪意のあるアプリケーションをダウンロードしてしまうかもしれませんし、フィッシングメールを開くこともあり得ます。目を離したすきに誰かに携帯電話をいじられる可能性もあります。このように方法は無数にあるのです。私が考えたこともない方法でも、犯罪者はきっと思いつくでしょう。 幸い、カスペルスキーはかつてないほど優れたモバイルセキュリティ製品を開発中です。また、IT大手は新しいオペレーティングシステムをリリースするごとに優れたセキュリティコントロールを導入しています。たとえばAppleの「iPhoneを探す」や「アクティベーションロック」といった機能です。ほとんどのデバイスには、緊急時にデータをリモートで消去する機能があります。ユーザーにできるのは、スマートフォンやタブレットにセキュリティ製品をインストールし、パスワードで保護して、OSのすべてのセキュリティ機能を実行することだけです。いつものように、存在する脅威についての最新情報も常に確認するようにしましょう。 充電にまつわる脅威は、すぐに対策をとることができます。プラグやソケット付きの充電器を持ち歩けばよいのです。私は1つを車の中に、もう1つをバックパックの中にいつも入れています。また、公共の場で充電するときは、そばを離れないようにしています。不便なこともありますが、バッテリーがなくなってしまうほうが、スマートフォンが感染したり盗まれたりするよりはるかにましです。 遠隔でのデータ消去や「iPhoneを探す」や「アクティベーションロック」は、紛失したデバイスを守るのに大変役立ちます。こうした機能が元々備わっていない場合は、別途インストールして、使い方を理解しておきましょう。スマートフォンの紛失はひどい不幸ですが、知らない人にあらゆる情報やアカウントにアクセスされるほうが最悪です。最低限、パスワードかパスコードでロックをかけておくのは必須です。スキルのある人物ならばこれらも解除してしまうでしょうが、4桁のパスコードであってもアクセスをあきらめさせることが往々にしてありますし、一定回数ログインを失敗したらデータを全部消去するように設定しておけばさらに心強いでしょう。 ものすごく用心深い人や、デバイス上のデータの安全が気になってしかたがない人は、メモリの全暗号化(Androidの場合)や、iCouldまたはローカルに置いたバックアップの暗号化(iOSの場合)を活用しましょう。 私には子どもがないので、お子さんにとって必要な対策についてアドバイスするわけにはいきませんが、お子さんがスマートフォンやタブレットをうっかり失くしたときのダメージをなるべく軽くするため、保存されているデータを把握して管理することをお勧めします。

アップルフィッシング-featured

偽りの果実の誘惑

Appleのオペレーティングシステムは、サイバー犯罪者の攻撃に強いと一般的に信じられています。かつてはその通りでしたが、Appleユーザーはフィッシング攻撃者にとってますます魅力的な標的になっています。ユーザー数が増え続けており、ほとんどの顧客がクレジットカード情報をApp StoreやiTunes Storeに登録しているからです。 Appleは、アプリを事前審査するiOS App Storeを開設して大きな成果を上げ、その後Mac App Storeもリリースしました。これにより、サイバー犯罪者は悪質アプリをユーザーのデバイスに取り込むことが非常に難しくなりました。ユーザーがMacにソフトウェアをサイドローディングしなければ、なおさらです。セキュリティについて心配する必要はまったくないように思えますが、それは大きな間違いです。Mac向けのマルウェアは実在するものですし、まん延しているサンプルもあるのです。 しかし、心配なのはマルウェアだけではありません。新しいMac、iPad、iPhoneをはじめ、Apple製デバイスを使うには、ある種のデジタルパスポート、Apple IDを取得する必要があります。Apple IDは、iTunes、App Store、Appleオンラインストアで共通のもので、ほとんどのユーザーは、クレジットカードをApple IDと紐づけて多様なAppleエコシステムから製品やサービスを購入することを選んでいます。しかしこれが、脅威を呼び込むことにもなります。 サイバー犯罪者の手にIDが渡れば、iCloud内のすべての情報にアクセスされる恐れがあります。その情報を売ってお金を儲けることも、ユーザーのふりをして買い物をすることも可能になってしまいます。 apple.comを装った偽サイトによるフィッシング手口は数多くあります。詐欺師はよく、「Appleサポート」からのもっともらしいメールを大量に送信し、ユーザーにIDを確認するよう求めます。このメールを注意して見てみると、細かいところで怪しい点がたくさん見つかるはずです。 リンク: 詐欺師はアドレスのどこかに「apple」の文字を入れてフィッシングサイトであることを隠そうとします。また、bit.lyなどの短縮URLもよく使います。Appleサポートが短縮URLや、apple.com以外のサイトを使うことはまずありません。 アドレスバー: フィッシングサイトの見た目はapple.comにそっくりです。しかし、注意してアドレスバーを見ると、apple.comではなく別のサイトであることが簡単にわかるでしょう。必ずアドレス全体を確認してください。携帯電話やタブレットのブラウザーを使用しているときは、特に注意が必要です。小さな画面ではサイトのアドレスが隠れていることが多いので、Webサイトのタイトルをクリックするか、上の方にスクロールしてアドレスをチェックしましょう。 差出人のアドレス: メールの差出人のアドレスが本物っぽく見えるかもしれませんが、送信者のアドレスを偽装することはそれほど難しくありません。メールヘッダーをよく確認して元の送信者をダブルチェックしましょう フィッシング詐欺師が欲しいのはあなたのApple IDです。サイバー犯罪者の手にIDが渡れば、iCloud内のすべての情報にアクセスされる恐れがあります。その情報を売ってお金を儲けることも、あなたのふりをして買い物をすることも可能になってしまいます。犯罪者は、追加のフォームを使用してクレジットカードをApple IDに再登録するように要求することがあります。要求された情報(カード番号やセキュリティコードなど)を入力すると、サイバー犯罪者がこのクレジットカードから直接お金を盗めるようになってしまいます。 このような脅威から逃れるには、Appleから再認証やデータの確認といったリクエストが届いたときに、十分に注意する必要があります。このケースに対処する最も安全な方法は、Appleサポートに電話して本当にそうする必要があるのか確認することです。また、メール内のリンクにアクセスする場合は注意しましょう。リンク自体をクリックするのではなく、URL(この例だとapple.com)をブラウザーのアドレスバーに手入力するのがよいでしょう。 セキュリティ強化のため、Appleアカウントで2段階認証を有効にすることをお勧めします。常に思い出してほしいのは、フィッシングは特定のプラットフォームだけを狙う脅威ではなく、どんなデバイスやOSを使用していても被害者になる可能性があるということ。だからこそ、今ではインターネットに接続するすべてのデバイスに保護が必要なのです。コンピューターにも、スマートフォンにも、タブレットにも必要です。犯罪者を引きつけるのはあなたのお財布です。したがって、犯罪者を撃退するものが必要になります。