スマートフォンのセキュリティ

2022年8月1日

パンデミックの影響により、在宅勤務をはじめとする自由な勤務体系が急増したことに伴い、社内での勤務時に比べてセキュリティ面での考え方が大きく変わらざるを得なくなった企業は多いと思う。特にリモートからスマートフォンを使って業務することを考えた場合、家にあるパーソナルコンピューターへのセキュリティ対策を徹底できたとしても、スマートフォンへの対策を講じるのは非常に大変である。

スマートフォンはどこにでも持ち運べる利便性の反面、デバイスの紛失または盗難といった物理的な脅威があることに加え、アプリケーション、ウェブアクセス、ネットワークなどによる脅威はパーソナルコンピューター同様に存在し、デバイスに連絡先リストや写真が保存され、決済アプリなどが導入されていることを考慮すると、大きな脅威となり得る。

中でも最近増加しているのが、SMSを使ったフィッシング (SMSとPhishingの合成からスミッシングと呼ばれることも多い)であろう。これは、スマートフォンを攻撃プラットフォームとして使用するフィッシングの一種で、標的の受信者をだましてリンクをクリックさせ、社会保険やクレジットカード番号などの個人情報を収集したり、悪意のあるプログラムをスマートフォンにダウンロードさせたりするフィッシングの一種である。多くのユーザーは、Eメールメッ セージ内のリンクをクリックすることの危険性は認識しているが、世界中の任意の番号からテキストメッセージを受信することができるスマートフォンにおいて、SMSのリンクをクリックすることの危険性を認識している人はまだ少ないだろう。さらに、ユーザーはEメールに比べて SMSへの信頼度は高く、銀行情報や個人データをフィッシングする攻撃者にとってはしばしば有利となる。

SMSによるフィッシング攻撃は、Eメールによるフィッシングのように機能し、リンクをクリックするようにユーザーを誘導するメッセージを送信するか、ターゲットユーザーのプライベートデータを含む応答を要求する。メッセージには、攻撃者が制御するサーバーへのリンク(URL: Uniform Resource Locator)が表示され、電話自体を危険にさらすように設計されたサイトまたはマルウェアにつながる可能性がある。その後、マルウェアを使用して、ユーザーのスマートフォンデータを抜き出したり、攻撃者が制御するサーバーに機密データを送信したりする。すべてのユーザーがブランドの公式URLに精通しているわけではなく、スマートフォンのブラウザーでブランドの公式URLを使用していなくても、メッセージ内にあるリンクを多くのユーザーが不信がったり、わざわざチェックすることもないと思われる。

スマートフォンに対するこのような攻撃から保護する方法として、いくつかの防止プラット フォームが提供されてはいるが、まずはEメールフィッシングと同様、攻撃を識別し、見覚えのない電話番号や数桁の数字の電話番号からのメッセージは無視する、着信拒否設定を行う、または会社や通信会社などに報告するという受信者側の行動が必要である。