2020年12月17日に開催されたマイナビニュース スペシャルセミナー「2020年のインシデントを振り返る」では、2020年のトレンドを踏まえ、「2021年に向けて現場の担当者が頭に入れておくべき知識とテクノロジー」をテーマにさまざまな講演が実施された。
そのなかから本稿では、Zimperium, Inc. カスタマー サクセス リード 奥山剛央氏とモバイルアイアン・ジャパン チャネル営業本部長・エバンジェリスト 李奇 リチャード氏が登壇した「モバイルが狙われている!~コロナ禍で広がる脅威の実例と対策~」の模様をレポートする。
モバイルを対象とした攻撃が急増
セッション冒頭、奥山氏は「コロナ禍によって、スマートフォンなどのモバイルデバイスを狙った攻撃が急増した」と指摘。
「特に顕著な例としては、偽の銀行アプリや偽のSNSアプリなどの不正アプリが挙げられます。最近では、偽のブラウザアプリなども登場しています」
これらの不正アプリは、主にSMSやメールから不正なWebサイトにアクセスさせる「フィッシング攻撃」によって配信される。近年のフィッシング攻撃は非常に巧妙になっており、アクセス先のWebサイトも、一見しただけでは本物と見分けがつかないものもある。
また正規のアプリであったとしても、プライバシーリスクが潜んでいるケースもある。
2020年6月、iOS 14のプライバシー強化機能によって、相当数のアプリケーションがクリップボードの内容にアクセスしていたことが判明した。つまり、もしそれらのアプリをインストールしているデバイスで、IDやパスワードをコピー&ペーストしてしまうと、アカウント情報が外部に流出してしまう可能性があるわけだ。
OSやアプリケーション自体の脆弱性についても注意が必要だ。毎年のことではあるが、2020年も数多くの脆弱性が報告されている。当然ながら脆弱性への対処を怠ると、情報を簡単に抜き取られてしまう。
「2020年は、テレワークやリモートワークが浸透したため、個人のモバイルデバイスを使用してセキュリティ対策が不十分な社外ネットワークからアクセスするケースが増えています。そして、そこを狙った攻撃もまた急増しています。私たちが行った調査によると、現在使用されているデバイスの約20%、つまり5人に1人が、何らかのネットワーク攻撃を受けているとの結果が出ています」(奥山氏)
フィッシングを完全に防ぐには?
続いて登壇したリチャード氏も、「モバイルの利用が広がったことで、MTD(Mobile Threat Defense:モバイル脅威対策)への注目は急激に高まっている」と同調する。
リチャード氏によれば、最近ではメールではなくSMSを使ったフィッシング(スミッシング)や、電話でIDやパスワードを聞き出すという手法も増えてきているという。
まず、SMSを使ったフィッシングに対してモバイルアイアンが提供する対策としては、Zimperium, Inc.の優れた検査エンジンを搭載した脅威防御ソリューション『MobileIron Threat Defense』がある。多層的なフィッシング防御で、メールでのフィッシングのみならず、SMSなどあらゆる経路でのフィッシング攻撃に対して防御することができる。また、MobileIron Threat DefenseはMobileIronの管理アプリに統合されているので、MobileIronで管理されているモバイルデバイスであれば、ユーザーの操作なしに管理者が全社に100%の導入を実現できるのも利点だ。
勤務先のIT部門やヘルプデスクを装って電話でIDやパスワードを聞き出す手法(Phone Spear Phishing)についてはどうだろう。
「おそらく、セキュリティについて高い意識を持っている方なら、そんな電話がかかってきてもほとんどの人はだまされないでしょう。しかし、もしたった1人でも電話によるフィッシング攻撃に引っかかったら、そこからシステムが乗っ取られてしまいます」(リチャード氏)
こうした攻撃を完全に防ぎたいのであれば、IDとパスワードという認証手段を一から考え直す必要がある。
「認証するための基盤には、パスワードのような知識要素のほかに生態情報や所有要素があります。多要素認証も普及しつつありますが、企業内で使用する認証方法はいまだに知識要素であるIDとパスワードがほとんどです」(リチャード氏)
World Economic Forumが公開しているレポート「Password less Authentication: The next breakthrough in secure digital transformation」によれば、多くの企業はパスワードマネージャなどを使用せず人間の記憶に頼っており、65%の人がパスワードを使い回しているという。コスト面においても、毎年パスワードを入力/リセットするために平均11時間/人の時間を費やしているのが現状だ。
モバイルアイアンが提供する『MobileIron Zero Sign-On Authentication』では、UEMで管理されているデバイスはもちろんのこと、UEM管理の外にある個人デバイスからでも、表示されるQRコードを読み取ることで、安全なパスワードレス認証が可能になるという。「パスワードレスを実現した結果、パスワードの運用維持コストが78%、セキュリティリスクコストが80%削減した事例もある」とリチャード氏は説明する。
「今後、モバイルデバイスがサイバー攻撃の標的にされるケースは間違いなく増えていきます。それらに対抗するためにも、しっかりとしたMTDを導入すると同時に現在の脆弱な認証基盤を見直し、パスワードを使わない認証方法を検討すべきです」(リチャード氏)
モバイルアイアンの“強み”
セッションの最後には、「情報セキュリティ事故対応アワード」審査員のNTTコム ソリューションズ株式会社 マネジメントソリューション本部 セキュリティソリューション部 北河拓士氏と株式会社インターネットイニシアティブ セキュリティ情報統括室長 根岸征史氏が参加し、ディスカッションが実施された。
まず、MobileIron UEMについて北河氏が「会社から支給されるデバイスと個人用デバイスをBYODする場合と、主にどちらを想定しているか」と質問。これに対し、リチャード氏は「現時点では、会社支給のデバイスが主であると想定している」と答え、「特に日本の場合、BYODよりも会社支給のケースが圧倒的に多いのが実態」だと説明する。ただし、BYODに対応していないわけではなく、2020年に入ってからBYODの問い合わせが急増していることもあり、「今後はBYODが増える可能性も十分にある」と見解を示した。
また、従業員のプライバシーを侵害しないための対策については、「会社領域が抽出する情報としない情報について、デバイスを登録する際に明示している。特にBYODでは、個人情報の扱いが一番の課題となるので、例えばデバイスに保存されている連絡先の情報や写真などの個人情報、また企業領域以外のアプリの情報を収集しない設定ができる」(リチャード氏)という。
最後に根岸氏からは、今回のセッションでフィッシング対策について強調されていたことを踏まえ、モバイルアイアンの製品が持つフィッシング対策の強みについて質問が投げかけられた。
これに対し、奥山氏は「既存のリストマッチング式では既知のサイトしか検知できないが、私たちの製品はURLの振る舞いを機械学習して検知するので、たとえ1時間前に作成された未知のサイトでもブロックできる。そこが、一番の強み」だと強調する。
加えてリチャード氏も「これからひとつの製品で企業の情報・環境を守り切ることが難しい、モバイルアイアンは独立系のソフトウエア会社なので、中立の立場で、いろいろなサードパーティ製品やサービスと連携し、組み合わせることができる。高い付加価値を提供しながら、お客様の環境をしっかり守ることができる。これも、一つの強みだと言えるだろう」と自信を見せた。
[PR]提供:モバイルアイアン・ジャパン