モバイルデバイスを狙う9つの脅威–攻撃の手口と最善の防御策を知る
今回は「モバイルデバイスを狙う9つの脅威–攻撃の手口と最善の防御策を知る」についてご紹介します。
関連ワード (デジタル資産を守る--サイバーセキュリティのベストプラクティス、特集・解説等) についても参考にしながら、ぜひ本記事について議論していってくださいね。
本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。
現在のスマートフォンは、私たちのコミュニケーション、資金、データ、社会生活のすべての鍵を握っているため、この広く利用されているデバイスはサイバー犯罪者の格好の標的となっている。
使用しているスマートフォンがGoogleやサムスン、Motorolaの「Android」デバイスであれ、Appleの「iOS」ベースの「iPhone」であれ、脅威アクターはスマートフォンに侵入する戦術を進化させようと常に慌ただしく励んでいる。
世界中に膨大な数のスマートフォンユーザーがいるが、誰一人としてサイバー攻撃を完全に回避することはできない。スパム、フィッシング、悪意あるアプリ、ランサムウェアは、モバイルデバイスユーザーが現在直面する脅威の一部にすぎず、攻撃手法は年々さらに高度化している。
保護された状態を維持するには、近年のスマートフォンセキュリティに対する最も一般的な脅威を理解し、認識する必要がある。本記事では、それらの脅威の実態、脅威を回避する最善の防御策、デバイスが侵害されたと思われる場合の対処方法について解説する。
では紹介しよう。これらがAndroidスマートフォンとiPhoneのセキュリティに対する近年における最大の脅威だ。
フィッシングは、攻撃者が詐欺の偽メッセージを送信するところから始まる。サイバー犯罪者は、受信者をだまして個人情報を共有させようとするほか、悪意あるリンクをクリックさせ、デバイスにマルウェアをダウンロードして意図せず実行するように仕向ける。あるいは、銀行やショッピングサイト、ソーシャルネットワーク、メールなどのアカウント情報を送信させようとする。
フィッシングは、マルウェアや監視ソフトウェアをスマートフォンにインストールする目的で使用される場合もある。
モバイルデバイスがフィッシング攻撃を受けやすい経路はPCと同じだ。これにはメールやソーシャルネットワークメッセージなどがあるが、モバイルデバイスはスミッシング、すなわちSMSテキストで送信されるフィッシングの試みの被害にも遭いやすい。
スピアフィッシングは、サイバー犯罪の手法を高度化したものだ。攻撃者はまず監視を実施して、標的に関する情報を収集する。通常、スピアフィッシング(標的型フィッシングとも呼ばれる)は、高い価値を持つ個人に対して実行され、金銭的または政治的な利益が動機になり得る。
ビッシング(ボイスフィッシングの略)も一般的になりつつある攻撃経路だ。この手法を取り入れる攻撃者は、音声サービスを使用して被害者をだまそうと試みる。これには、ボイスメールを残したり、自動ロボコールや音声変換システムなどを使用したりして、標的をだまして機密情報を渡すように仕向ける手口などがある。
最善の防御策:メールやテキストメッセージ内のリンクは、本物であることを完全に確信できない限りクリックしない。不意な電話やボイスメールに用心し、不審なものでないと証明されない限りは不審なものとして扱う。
多くの人が忘れている重要なセキュリティ対策は、モバイルデバイスを物理的に保護することだ。PINコード、パターン、生体認証チェック(指紋や網膜などのスキャン)を使用しない場合、デバイスを不正に利用されるおそれがある。また、スマートフォンを放置すると、盗難のリスクがある。
最善の防御策:少なくとも、強力なパスワードやPIN番号によってスマートフォンをロックしよう。そうすれば、悪人の手に渡ったとしても、データやアカウントにアクセスできなくなる。
AppleやGoogleが提供するセキュリティ機能を有効にして、盗難時にデバイスを復元できるようにしておくことも検討すべきだ。Appleの「探す」サービスではiPhoneや「iPad」「AirPods」などのデバイスを追跡でき、Googleもスマートフォンやタブレットの追跡機能を提供している。
SIMハイジャック(別名SIMスワップ、SIMポーティング)とは、顧客がSIMと電話番号を通信事業者間または端末間で切り替える必要がある場合に通信事業者が提供する正規のサービスを悪用する攻撃だ。
通常、顧客は通信事業者に連絡して、アカウント所有者である自分の身元を証明してから、切り替えを依頼する。だが攻撃者は、ソーシャルエンジニアリングと、見つけ出した個人情報(氏名、住所、連絡先など)を使用し、その顧客になりすまして、顧客サービス担当者をだまし、その電話番号を自らがコントロールできるようにさせる。
攻撃が成功すると、サイバー犯罪者は自分の所有するスマートフォンに電話やテキストメッセージをリダイレクトすることができる。重要なのは、これによって、メールやソーシャルメディア、銀行口座などの保護に使用される2要素認証(2FA)コードも犯罪者の手に渡ってしまうことだ。