ポケットの中のコンピューターが抱えるリスク

2013年7月17日

長い歴史の中では、コンピューター自体が比較的新しいものなのだとしたら、モバイルデバイスは生まれたばかりのものということになります。同様に、私たちがこの20~30年間の大半を費やして従来型のコンピューターを保護する方法を研究してきたということは、モバイルのセキュリティにも非常に長い時間がかかるはずです。

モバイルリスク-title

スマートフォンやタブレットは、パーソナルコンピューターに搭載されている以上の機能を備えています。したがって、モバイルデバイスにはそれ固有のセキュリティの課題があります。しかし、さらに大きな問題となるのが、これらのデバイスがユーザーのポケットやカバンに入って、ユーザーが行くところほぼすべてに付いて来るということです。デスクトップコンピューターは机の上に置かれて電源コードで壁とつながっていますが、モバイルデバイスは簡単になくしたり置き忘れたりします。

コンピューターにおける脅威はモバイルデバイスの脅威とよく似ていますが、1つ重要な違いがあります。(ラップトップはともかくとして)コンピューターは持ち運びしないものです。しかし、スマートフォンやタブレットはどこにでも持って行きます。また、カメラやGPSを搭載していますし、デバイスの位置情報はモバイルサービスプロバイダーが常に追跡しています。モバイルデバイスからはメールも電話もするし、SMSベースのテキストメッセージだって送ります – 場合によっては、保護されていない無線接続を使って。支払い情報などの機密性の高い情報が大量に保存されており、オンラインショップにログインすることもよくあります。ふと思い立ってアプリをダウンロードすることもありますが、そのアプリの作成者のことはほとんど知りません。昔ながらのコンピューターと同じように、こういったものはすべて、既存のマルウェア(あるいは間もなく誕生しようとしているマルウェア)によって監視されているかもしれません。場合によってはこれらの情報が盗まれることさえあります。スマートフォンの攻撃対象領域(攻撃者の侵入手段の数)は従来型のコンピューターよりはるかに広いのです。従来型のコンピューターやラップトップを危険にさらす方法でさえ、把握できないほど存在しているので、その数は膨大になります。

両者に共通する脅威とは別に、モバイルデバイスにはコンピューターにはない危険もあります。

たとえば充電です。ほとんどのスマートフォンには、何らかのUSB接続型の充電ポートがあります。スマートフォンでは充電とデータの同期を同じコードで行います。理論上は、携帯電話のデータを充電器から盗むことが十分に可能なのです。突拍子もない話だと思いますよね。でも思い出してみてください。バーで飲んでいて電池が切れそうになり今すぐ充電したいというときに、バーテンダーに充電器を貸してほしいと頼んだことはありませんか?あるいは、空港で電池が切れかけたことは?わかりました。でも、自分が到着したことを知らせる手段がないと、迎えに来てもらえませんよね?誰も空港で缶詰にはなりたくありません。不本意ながら充電台に差し込んでお金を払いますが、充電台の持ち主は誰ともわからず、もしかするとスマートフォンに入っている貴重なデータを誰かに持って行かれるためにお金を払ったのかもしれません。

デバイスの紛失や盗難も、比較的モバイル環境特有のものであると言えます。もちろんラップトップをなくすこともあり得ますが、スマホやタブレットよりは大きいですし、忘れることも少ないでしょう。窃盗犯がコンピューターを盗むにしても、少なくともまず自宅やオフィスに侵入する必要があります。

昨年読んだDailyMailの記事に、米軍が開発した悪質アプリケーションの概念実証について書かれていました。そのアプリには、携帯電話のカメラを起動して写真や動画を撮影し、アプリ開発者に送り返す機能があるようでした。このアプリを動かすソフトウェアにも、写真を使って部屋の状況をわかるようにする機能があるそうです。攻撃者がこれらの機能を利用すれば、スパイ、情報収集、(自宅やオフィスに)強盗に入る前の下見が可能になるかもしれません。もちろん、多くのラップトップにもカメラが内蔵されています。しかし、繰り返しますが、ラップトップをポケットに入れて持ち運ぶことはありません。

同じように、研究者がスマートフォンのマイクを遠隔起動するのを見たことがあります。半永久的に動く諜報マシンのできあがりです。また、デバイスのGPSや位置情報サービスが悪用されると、ユーザーの行動のすべてが筒抜けになる可能性もあります。

デバイスのすべての通信内容を記録するマルウェアが携帯電話にインストールされることは十分に考えられます。攻撃者は通話を盗聴し、メールやテキストメッセージを読み、すべてのSNSアカウントのパスワードを盗んでいるかもしれません。最悪の場合、オンラインバンキングの認証情報を盗まれて、さまざまな被害が出てしまいます。たとえば、私があなたの銀行ログイン情報を手に入れたとしたら、銀行にもよりますが、あなたのパスワードを変更したり、残高を私の口座に全額送金したりできるようになる可能性があります。あるいは、その口座に関連するメールアドレスや住所を変更して、クレジットカードのコピーを私の家に送り、思う存分買い物し放題、ということも。もちろん私はそんなことはしませんが、そういうことを実際にやる輩がたくさんいるのです。

私は合い間合い間に子ども向けのスイミングのコーチをしています。ちょっと見渡してみると、多くの子どもがスマートフォンを持ち歩いています。私は犯罪者ではありませんが、そのスマートフォンに父親や母親のクレジットカード情報が保存されているのではないかと、ついつい気になってしまいます。つまり、多くの人が、機密情報がつまったデバイスを子どもに渡しているのです。子どもというのは、文字通り何でもなくしますし、子どもによっては(特に幼い子は)大人の言うことを何でも信じてしまいます。賢い人でなくても子どもはだませます。

犯罪者が携帯電話に侵入する手段もいくらでもあります。悪意のあるアプリケーションをダウンロードしてしまうかもしれませんし、フィッシングメールを開くこともあり得ます。目を離したすきに誰かに携帯電話をいじられる可能性もあります。このように方法は無数にあるのです。私が考えたこともない方法でも、犯罪者はきっと思いつくでしょう。

幸い、カスペルスキーはかつてないほど優れたモバイルセキュリティ製品を開発中です。また、IT大手は新しいオペレーティングシステムをリリースするごとに優れたセキュリティコントロールを導入しています。たとえばAppleの「iPhoneを探す」や「アクティベーションロック」といった機能です。ほとんどのデバイスには、緊急時にデータをリモートで消去する機能があります。ユーザーにできるのは、スマートフォンやタブレットにセキュリティ製品をインストールし、パスワードで保護して、OSのすべてのセキュリティ機能を実行することだけです。いつものように、存在する脅威についての最新情報も常に確認するようにしましょう。

充電にまつわる脅威は、すぐに対策をとることができます。プラグやソケット付きの充電器を持ち歩けばよいのです。私は1つを車の中に、もう1つをバックパックの中にいつも入れています。また、公共の場で充電するときは、そばを離れないようにしています。不便なこともありますが、バッテリーがなくなってしまうほうが、スマートフォンが感染したり盗まれたりするよりはるかにましです。

遠隔でのデータ消去や「iPhoneを探す」や「アクティベーションロック」は、紛失したデバイスを守るのに大変役立ちます。こうした機能が元々備わっていない場合は、別途インストールして、使い方を理解しておきましょう。スマートフォンの紛失はひどい不幸ですが、知らない人にあらゆる情報やアカウントにアクセスされるほうが最悪です。最低限、パスワードかパスコードでロックをかけておくのは必須です。スキルのある人物ならばこれらも解除してしまうでしょうが、4桁のパスコードであってもアクセスをあきらめさせることが往々にしてありますし、一定回数ログインを失敗したらデータを全部消去するように設定しておけばさらに心強いでしょう。

ものすごく用心深い人や、デバイス上のデータの安全が気になってしかたがない人は、メモリの全暗号化(Androidの場合)や、iCouldまたはローカルに置いたバックアップの暗号化(iOSの場合)を活用しましょう。

私には子どもがないので、お子さんにとって必要な対策についてアドバイスするわけにはいきませんが、お子さんがスマートフォンやタブレットをうっかり失くしたときのダメージをなるべく軽くするため、保存されているデータを把握して管理することをお勧めします。