テレワーク時代のモバイルを狙うサイバー攻撃 前編: モバイルに潜むセキュリティリスク

mobileSecurityAsset1.jpg

最先端デジタル技術を活用して新たなビジネスモデルを創出・柔軟に改変するデジタルトランスフォーメーション(DX)。モバイルは時間・場所に制約をかけない柔軟な仕事のやり方を実現するDXを実現する主要技術の1つです。テレワークの推進や業務システムがクラウドへシフトしていく環境変化により、モバイルデバイスを使って業務を行う事はスタンダードになっていると言えます。その環境変化に伴いモバイルデバイスを標的としたサイバー攻撃は増加し企業にとってモバイルセキュリティの確保は重要な検討事項の一つとなっています。

今回はモバイルセキュリティをテーマに前編・後編の2回に分けて記事を掲載します。前編となる本記事では、モバイルデバイスのビジネスでの利用ケースの歴史を振り返り、モバイルに潜むセキュリティリスクを解説します。後編では、モバイルデバイスを狙うサイバー攻撃の実例と現在主流のセキュリティ対策EMM(Enterprise Mobility Management)を解説し、EMMを補完しデータを保護する為に開発されたソリューションについて解説します。

ビジネスにおけるモバイル利用と重要データの増加

はじめにモバイルのビジネスにおける利用ケースについて、これまでの歴史を振り返ってみます。

企業がモバイルを利用する用途は、当初電話やメールだけでした。それがスマートフォンの台頭によりスケジューラ等の業務アプリケーションを利用するようになります。その後、モバイルから社内業務システムへアクセスするようになり、今では社内システムだけでなく外部のクラウドサービス、SaaSを活用するようになっています。このようにビジネスにおいてモバイルの利用ケースは増加を続けています。

2.png

モバイルの利用ケースが増える事で、モバイルが持つ重要データの量も比例して増えてきています。電話・コミュニケーションツールのデータ、企業ネットワーク・SaaSの認証情報など企業にとって機微な情報がモバイルに保管されるようになりました。デバイスのサイズが小さい事から保管しているデータの重要度について軽視してしまいがちですが、モバイルデバイスにはPCと同等それ以上の重要データが保管されています。

4.png

ここからは、保管するデータの量・重要度が増加し続けているモバイルデバイスに、どのようなセキュリティリスクがあるのかを解説します。

モバイルデバイス (AndroidiOS) に潜むセキュリティリスク

モバイルデバイスの大きな特徴4つとそれらから生じるセキュリティ上の懸念点について挙げてみます。

  1. 常時インターネット接続(キャリア/Wi-Fi)
    PCと異なり、企業ネットワーク外で常時インターネット接続をしている事から従来の企業ネットワークを守っているセキュリティ製品の恩恵を受けることができず、外部からの攻撃を受けやすい。
  2. ネイティブアプリの利用
    通信先URLはユーザに表示されない為、正しい通信先へアクセスしているのかを判断できない。
  3. 多くの個人情報を持つ
    重要データの漏洩に繋がる可能性がある。
  4. ユーザにとって気軽な操作
    画面が小さい事で見える情報量が少ない事とモバイルデバイスはWindows PCと比べて安全であるという心理によりメール・SMS で送られてきたURLをクリックする等の操作を気軽に行ってしまう。

また、一般的にモバイルOS(iOSAndroid)は、安全であるという意識を持ちがちですが実際はどうでしょうか。下の図は、モバイルOS毎にCVE(共通脆弱性識別子)番号が採番された脆弱性の種類毎の累計値を示したものです。それぞれのOSで多くの脆弱性が発見されています。また、iOSAndroidと比べてリスクが高い脆弱性が多いという結果になっています。この事からモバイルOSWindowsと同様に決して安全ではなく適宜修正を適用していく必要がある事が分かります。

5-1.png

AndroidでCVE番号が採番された脆弱性 (参考: CVE Details https://www.cvedetails.com/ のデータを弊社で集計)

5-2.png

iOSでCVE番号が採番された脆弱性 (参考: CVE Details https://www.cvedetails.com/ のデータを弊社で集計)

普段良く使われるアプリケーションにもリスクが高い脆弱性は存在します。以下は2019年に発見された脆弱性の一例です。

  1. iOS 標準メールソフトの脆弱性(CVE-2020-9818/9819)
    メールデータの改ざんや他脆弱性と組み合わせる事でリモートから任意のコードが実行される可能性がある
  2. Instagramの脆弱性 (CVE-2020-1895)
    他脆弱性と組み合わせる事でリモートから任意のコードが実行される可能性がある
  3. Android Lineの脆弱性 (CVE-2019-6010/6007)
    アプリケーションの異常終了やリモートから任意のコードが実行される可能性がある
  4. Whatsappの脆弱性 (CVE-2019-3568)
    リモートから任意のコードが実行される可能性がある

また、公式アプリストアからインストール可能なアプリケーションが全て安全であるわけではありません。アプリストアの方でも精力的に悪意のあるアプリがアップロードされないように確認をしていますが、それでも100%完全に防ぐことは難しいのが現状です。

  • 2019年 Apple App Storeで、C&Cサーバと通信を行うマルウェアが配布された (参考: https://www.wandera.com/ios-trojan-malware/)
  • 2019年 Google Playで、日本のセキュリティアプリに偽装したマルウェアが配布された (参考: https://ascii.jp/elem/000/001/912/1912685/)

そして、多くのモバイルアプリがデバイスに保管されている重要データへのアクセス権を求めてきます。以下の図は、iOSAndroid毎にモバイルデータへアクセス許可を求めるアプリの割合を示しています。

6.png

参考: https://www.wandera.com/mobile-threat-landscape/

ユーザには、アプリがアクセス権限を与えたデータがどこに送られてどのように使われるのかが不透明なケースが少なくありません。国家安全保障上の観点から、国によっては使用禁止にされたアプリもあります。企業が配布するモバイルデバイスも例外ではなく、IT部門はデバイス内にある重要データの可視化・制御ができていない状況になっており、これは企業にとって大きな課題の一つと言えます。

モバイルのセキュリティリスクについて、まとめると以下になります。

  • モバイルはPCと同等以上の重要データを保管している
  • モバイルデバイスの特徴に起因するセキュリティ上の懸念点がある
  • モバイルにもOS・アプリに重大な脆弱性は存在し、マルウェアに感染するリスクも存在する
  • プライバシー保護に課題がある

後編では、モバイルを狙うサイバー攻撃の実例と対策について解説をします。

また「モバイルセキュリティ」について、もう少し詳しく知りたいという方は、当社の「モバイルセキュリティエキスパート」や「モバイルソリューションアーキテクト」がオンデマンド動画で詳しく解説しております。
無料でご視聴可能ですので、是非ご覧ください!

オンデマンド動画

『テレワーク時代のモバイルを狙う最新のサイバー攻撃と対策 ~これから必要なモバイルセキュリティとは~』

本セッションでは弊社モバイルセキュリティのエキスパートがモバイルデバイスの特徴とセキュリティの実態について共有し、最新のサイバー攻撃の事例やセキュリティリスクについて解説をします。そしてこれから必要なモバイルセキュリティ対策についてご紹介をします。

mobilesecurity ondemand.png