モバイルデバイスを狙う9つの脅威–攻撃の手口と最善の防御策を知る

今回は「モバイルデバイスを狙う9つの脅威–攻撃の手口と最善の防御策を知る」についてご紹介します。

関連ワード (デジタル資産を守る--サイバーセキュリティのベストプラクティス、特集・解説等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

 現在のスマートフォンは、私たちのコミュニケーション、資金、データ、社会生活のすべての鍵を握っているため、この広く利用されているデバイスはサイバー犯罪者の格好の標的となっている。

 使用しているスマートフォンがGoogleやサムスン、Motorolaの「Android」デバイスであれ、Appleの「iOS」ベースの「iPhone」であれ、脅威アクターはスマートフォンに侵入する戦術を進化させようと常に慌ただしく励んでいる。

 世界中に膨大な数のスマートフォンユーザーがいるが、誰一人としてサイバー攻撃を完全に回避することはできない。スパム、フィッシング、悪意あるアプリ、ランサムウェアは、モバイルデバイスユーザーが現在直面する脅威の一部にすぎず、攻撃手法は年々さらに高度化している。

 保護された状態を維持するには、近年のスマートフォンセキュリティに対する最も一般的な脅威を理解し、認識する必要がある。本記事では、それらの脅威の実態、脅威を回避する最善の防御策、デバイスが侵害されたと思われる場合の対処方法について解説する。

 では紹介しよう。これらがAndroidスマートフォンとiPhoneのセキュリティに対する近年における最大の脅威だ。

 フィッシングは、攻撃者が詐欺の偽メッセージを送信するところから始まる。サイバー犯罪者は、受信者をだまして個人情報を共有させようとするほか、悪意あるリンクをクリックさせ、デバイスにマルウェアをダウンロードして意図せず実行するように仕向ける。あるいは、銀行やショッピングサイト、ソーシャルネットワーク、メールなどのアカウント情報を送信させようとする。

 フィッシングは、マルウェアや監視ソフトウェアをスマートフォンにインストールする目的で使用される場合もある。

 モバイルデバイスがフィッシング攻撃を受けやすい経路はPCと同じだ。これにはメールやソーシャルネットワークメッセージなどがあるが、モバイルデバイスはスミッシング、すなわちSMSテキストで送信されるフィッシングの試みの被害にも遭いやすい。

 スピアフィッシングは、サイバー犯罪の手法を高度化したものだ。攻撃者はまず監視を実施して、標的に関する情報を収集する。通常、スピアフィッシング(標的型フィッシングとも呼ばれる)は、高い価値を持つ個人に対して実行され、金銭的または政治的な利益が動機になり得る。

 ビッシング(ボイスフィッシングの略)も一般的になりつつある攻撃経路だ。この手法を取り入れる攻撃者は、音声サービスを使用して被害者をだまそうと試みる。これには、ボイスメールを残したり、自動ロボコールや音声変換システムなどを使用したりして、標的をだまして機密情報を渡すように仕向ける手口などがある。

 最善の防御策:メールやテキストメッセージ内のリンクは、本物であることを完全に確信できない限りクリックしない。不意な電話やボイスメールに用心し、不審なものでないと証明されない限りは不審なものとして扱う。

 多くの人が忘れている重要なセキュリティ対策は、モバイルデバイスを物理的に保護することだ。PINコード、パターン、生体認証チェック(指紋や網膜などのスキャン)を使用しない場合、デバイスを不正に利用されるおそれがある。また、スマートフォンを放置すると、盗難のリスクがある。

 最善の防御策:少なくとも、強力なパスワードやPIN番号によってスマートフォンをロックしよう。そうすれば、悪人の手に渡ったとしても、データやアカウントにアクセスできなくなる。

 AppleやGoogleが提供するセキュリティ機能を有効にして、盗難時にデバイスを復元できるようにしておくことも検討すべきだ。Appleの「探す」サービスではiPhoneや「iPad」「AirPods」などのデバイスを追跡でき、Googleもスマートフォンやタブレットの追跡機能を提供している。

 SIMハイジャック(別名SIMスワップ、SIMポーティング)とは、顧客がSIMと電話番号を通信事業者間または端末間で切り替える必要がある場合に通信事業者が提供する正規のサービスを悪用する攻撃だ。

 通常、顧客は通信事業者に連絡して、アカウント所有者である自分の身元を証明してから、切り替えを依頼する。だが攻撃者は、ソーシャルエンジニアリングと、見つけ出した個人情報(氏名、住所、連絡先など)を使用し、その顧客になりすまして、顧客サービス担当者をだまし、その電話番号を自らがコントロールできるようにさせる。

 攻撃が成功すると、サイバー犯罪者は自分の所有するスマートフォンに電話やテキストメッセージをリダイレクトすることができる。重要なのは、これによって、メールやソーシャルメディア、銀行口座などの保護に使用される2要素認証(2FA)コードも犯罪者の手に渡ってしまうことだ。

元記事: https://japan.zdnet.com/article/35214815/
IT関連 #デジタル資産を守る--サイバーセキュリティのベストプラクティス #特集・解説

COMMENTS

この記事について議論する

Recommended

TITLE
CATEGORY
DATE
ガートナー、2025年のデータ/アナリティクスのトップトレンドを発表
IT関連
2025-03-12 01:58
エクサウィザーズ、生成AIのRAG継続改善機能をリリース
IT関連
2024-05-14 04:38
Microsoft、MRプラットホーム「Microsoft Mesh」発表 マルチデバイス対応アプリ開発を目指す :Microsoft Ignite 2021
製品動向
2021-03-04 20:59
「M4 Max/M3 Ultra」搭載の新型「Mac Studio」が登場–アップグレードの判断は?
IT関連
2025-03-08 00:28
鹿島建設、「楽楽明細」でコスト削減と業務効率化–約20年の自社システムから移行
IT関連
2024-09-03 16:28
富士通、海中の生物や構造物の3次元形状データを取得する技術を開発
IT関連
2024-03-29 00:39
法務管理「GVA manage」に「Word編集機能」–画面上からの「Word」起動が可能に
IT関連
2023-07-20 21:07
因幡電機産業、AI型のエンドポイントセキュリティ製品に移行
IT関連
2024-02-22 14:30
持続可能性の取り組みはIT部門の優先事項に–コロナ禍でも高い意識
IT関連
2021-08-19 21:57
セキュリティ分野でキャリアアップするには–5つのアドバイス
IT関連
2022-11-25 19:05
「Xcode Cloud」、Appleが発表。クラウド上でXcodeを自動的にビルド、テスト、App Storeへデリバリ。GitHubなどと連携
Apple
2021-06-10 08:28
「カブトムシ相撲」をオンライン開催、コンピュータ上で自動対戦 鹿児島県大崎町
企業・業界動向
2021-07-13 06:31
アドビと専修大、デザイン思考を取り入れた大学カリキュラムを開発
IT関連
2022-04-05 00:43
AWSジャパン、生成AI最新情報を発表–開発者体験を一新する「Amazon Q Developer」など
IT関連
2024-05-19 10:41