モバイルデバイスを狙う9つの脅威–攻撃の手口と最善の防御策を知る

今回は「モバイルデバイスを狙う9つの脅威–攻撃の手口と最善の防御策を知る」についてご紹介します。

関連ワード (デジタル資産を守る--サイバーセキュリティのベストプラクティス、特集・解説等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

 現在のスマートフォンは、私たちのコミュニケーション、資金、データ、社会生活のすべての鍵を握っているため、この広く利用されているデバイスはサイバー犯罪者の格好の標的となっている。

 使用しているスマートフォンがGoogleやサムスン、Motorolaの「Android」デバイスであれ、Appleの「iOS」ベースの「iPhone」であれ、脅威アクターはスマートフォンに侵入する戦術を進化させようと常に慌ただしく励んでいる。

 世界中に膨大な数のスマートフォンユーザーがいるが、誰一人としてサイバー攻撃を完全に回避することはできない。スパム、フィッシング、悪意あるアプリ、ランサムウェアは、モバイルデバイスユーザーが現在直面する脅威の一部にすぎず、攻撃手法は年々さらに高度化している。

 保護された状態を維持するには、近年のスマートフォンセキュリティに対する最も一般的な脅威を理解し、認識する必要がある。本記事では、それらの脅威の実態、脅威を回避する最善の防御策、デバイスが侵害されたと思われる場合の対処方法について解説する。

 では紹介しよう。これらがAndroidスマートフォンとiPhoneのセキュリティに対する近年における最大の脅威だ。

 フィッシングは、攻撃者が詐欺の偽メッセージを送信するところから始まる。サイバー犯罪者は、受信者をだまして個人情報を共有させようとするほか、悪意あるリンクをクリックさせ、デバイスにマルウェアをダウンロードして意図せず実行するように仕向ける。あるいは、銀行やショッピングサイト、ソーシャルネットワーク、メールなどのアカウント情報を送信させようとする。

 フィッシングは、マルウェアや監視ソフトウェアをスマートフォンにインストールする目的で使用される場合もある。

 モバイルデバイスがフィッシング攻撃を受けやすい経路はPCと同じだ。これにはメールやソーシャルネットワークメッセージなどがあるが、モバイルデバイスはスミッシング、すなわちSMSテキストで送信されるフィッシングの試みの被害にも遭いやすい。

 スピアフィッシングは、サイバー犯罪の手法を高度化したものだ。攻撃者はまず監視を実施して、標的に関する情報を収集する。通常、スピアフィッシング(標的型フィッシングとも呼ばれる)は、高い価値を持つ個人に対して実行され、金銭的または政治的な利益が動機になり得る。

 ビッシング(ボイスフィッシングの略)も一般的になりつつある攻撃経路だ。この手法を取り入れる攻撃者は、音声サービスを使用して被害者をだまそうと試みる。これには、ボイスメールを残したり、自動ロボコールや音声変換システムなどを使用したりして、標的をだまして機密情報を渡すように仕向ける手口などがある。

 最善の防御策:メールやテキストメッセージ内のリンクは、本物であることを完全に確信できない限りクリックしない。不意な電話やボイスメールに用心し、不審なものでないと証明されない限りは不審なものとして扱う。

 多くの人が忘れている重要なセキュリティ対策は、モバイルデバイスを物理的に保護することだ。PINコード、パターン、生体認証チェック(指紋や網膜などのスキャン)を使用しない場合、デバイスを不正に利用されるおそれがある。また、スマートフォンを放置すると、盗難のリスクがある。

 最善の防御策:少なくとも、強力なパスワードやPIN番号によってスマートフォンをロックしよう。そうすれば、悪人の手に渡ったとしても、データやアカウントにアクセスできなくなる。

 AppleやGoogleが提供するセキュリティ機能を有効にして、盗難時にデバイスを復元できるようにしておくことも検討すべきだ。Appleの「探す」サービスではiPhoneや「iPad」「AirPods」などのデバイスを追跡でき、Googleもスマートフォンやタブレットの追跡機能を提供している。

 SIMハイジャック(別名SIMスワップ、SIMポーティング)とは、顧客がSIMと電話番号を通信事業者間または端末間で切り替える必要がある場合に通信事業者が提供する正規のサービスを悪用する攻撃だ。

 通常、顧客は通信事業者に連絡して、アカウント所有者である自分の身元を証明してから、切り替えを依頼する。だが攻撃者は、ソーシャルエンジニアリングと、見つけ出した個人情報(氏名、住所、連絡先など)を使用し、その顧客になりすまして、顧客サービス担当者をだまし、その電話番号を自らがコントロールできるようにさせる。

 攻撃が成功すると、サイバー犯罪者は自分の所有するスマートフォンに電話やテキストメッセージをリダイレクトすることができる。重要なのは、これによって、メールやソーシャルメディア、銀行口座などの保護に使用される2要素認証(2FA)コードも犯罪者の手に渡ってしまうことだ。

元記事: https://japan.zdnet.com/article/35214815/
IT関連 #デジタル資産を守る--サイバーセキュリティのベストプラクティス #特集・解説

COMMENTS

この記事について議論する

Recommended

TITLE
CATEGORY
DATE
GitHub、パブリックリポジトリのユーザーに4vCPU/16GBメモリ/150GBストレージのホステッドランナーを無償提供、従来よりも2倍のスペックに強化
DevOps
2024-01-19 07:51
最新ロボットはどこまで人の代わりになる? キーワードは“親しみやすさ”? 新人記者が体験してみた
ロボット・AI
2021-07-14 04:26
プチプチが進化! 手でスパッと切れる「スパスパ」誕生
くらテク
2021-07-07 07:49
サントリービジネスシステム、請求書クラウドサービス導入–月間労働時間を720時間削減
IT関連
2024-07-13 20:48
G7、ロシアにランサムウェアなどサイバー犯罪への対策求める
IT関連
2021-06-15 13:28
Instagramが新商品をバズらせる新しい販売用セクション「ドロップ」を米国で公開
ネットサービス
2021-05-28 19:38
Microsoft、Edgeブラウザの安全強化モード「Super Duper Secure Mode」のテスト開始
アプリ・Web
2021-08-08 15:09
三菱マテリアル、人事変革の基盤として「SAP SuccessFactors」稼働–アクセンチュアが支援
IT関連
2022-09-03 07:43
「DeepL翻訳」、韓国語とノルウェー語に対応
IT関連
2023-02-02 14:28
部屋の模様替えのデザイン検討や家具の購入もできるプラットフォーム「The Landing」
ネットサービス
2021-02-27 12:52
AI与信管理サービスのアラームボックス、リコージャパンと協業開始
IT関連
2022-12-17 10:41
TikTokがイタリア当局の全ユーザー年齢確認命令を受け50万超のアカウントを削除
ネットサービス
2021-05-14 09:47
福岡ソフトバンクホークス、従業員や関係者の入退館管理に顔認証サービスを活用
IT関連
2023-08-26 20:30
YDC、売場案内サービス「PlaceFinder for Retail」を改良–導入・管理の負荷軽減
IT関連
2022-07-10 01:06