事例Use case

【Bitdefender海外ブログ】スマートフォン利用時のリスクTop5

2021.7.29

ツイート シェア 送る はてブ

rob-hampson-cqFKhqv6Ong-unsplash.jpg
スマートフォンが現在どれほど多くのセキュリティの脅威にさらされているか、以前Bitdefenderの記事でご紹介しました。このような脅威は、どの機種やOSを使用しているかは関係ありません。なぜiPhoneはサイバー攻撃を受けないと多くのAppleファンが信じているのか、Google Play ストア以外で販売されているAndroidアプリは、我々の想像以上に危険なのかを記事の中で説明してきました。モバイルセキュリティの脅威はもはや神話ではありません。モバイルユーザーが現在最も一般的に直面している脅威の、上位5つを見てみましょう。

(1)ストーカーウェア


ストーカーウェアは、スパイウェアの仲間で、ストーカー目的でソフトウェアを監視する目的で使われます。"ストーカーウェア"という言葉は、配偶者をストーキングするためのスパイウェアを、攻撃者が商用に使用し始めたことで作られました。主に家庭内暴力の加害者や、雇用主に使われています。

ストーカーウェアは居場所の追跡や、チャットの記録、カメラやマイクをオンにして盗聴にも使われます。この攻撃を行うには、通常デバイスに物理的にアクセスして設定をおこなう必要があります。しかし、悪意のあるコードを含むソフトウェアパッケージを、無意識のうちにダウンロードしてインストールすると、スマートフォンがストーカーウェアに感染してしまう可能性もあります。

そのため、スマートフォンで悪意のある行為を検出できるセキュリティ製品を使用することが重要です。もちろん、ベンダーの精査されたアプリストアからのみアプリをダウンロードしてインストールすることも重要です。

(2)フィッシング/スミッシング/ビッシング


フィッシングはソーシャルエンジニアリングと呼ばれる人をだます手法で、OSに関係なく使われます。通常はスパムメールに仕込まれており、巧みな文言でユーザーを誘導し、名前、パスワード、クレジットカード番号を詐取します。この手法はSMSでも使われ、スミッシング(SMS+フィッシング)と呼ばれています。これらの攻撃は通常、ユーザーが過大請求された番号に電話をかける、悪意のあるURLにアクセスする、賞品を獲得するために個人情報または金融情報を返信する、といったことを要求します。恐怖心を利用して、個人情報が危険にさらされていると信じ込ませ、被害を減らすために早急な対策を取るようユーザーに促します。

音声を使用したフィッシング詐欺も行われており、ビッシング(フィッシング+ボイス)と呼ばれています。目的は上記で説明したものと同じですが、ビッシングだけは本物の人間(もしくはロボット)が電話でだまそうとします。個人情報やPIN・カード情報などの金融情報を盗もうとします。

フィッシング攻撃は、その伝達方法に関係なく、常に切迫感や恐怖心を引き起こそうとします。銀行やさまざまなベンダーから送信されたと主張する一方的なメッセージには、絶対に返信しないでください。また、メッセージの送信元は本当に正当なものなのか、それとも偽の送信元なのかを、常に確認するようにしましょう。ただし、フィッシング詐欺は絶えず進化しているため、訓練を受けていても見分けることが難しい場合があるので注意が必要です。ユーザーが気付かない可能性のあるフィッシング攻撃を検知することができるため、最新のモバイルセキュリティソリューションを導入することが賢明な選択です。

4581326_m.jpg

(3)フリーWi-Fi等の共有Wi-Fi


レジでの支払いにスマートフォンを使用することが一般的になり、外出先でスマートフォンを使用してオンラインショッピングをするときも、同じように使えばいいと思うかもしれません。しかし、公共のWi-Fiネットワークは必ずしも安全ではありません。

攻撃者の中には、ID/パスワード等のクレデンシャル情報やクレジットカード情報を盗むことを目的としたWi-Fiネットワークを設定している場合もあります。

もう一つ危険なのは、HTTPS化されていないオンラインストアです。HTTPのウェブサイトは暗号化されていないため、攻撃者に通信を傍受されてしまいます。これは中間者攻撃と呼ばれています。

セキュリティ製品を使用することで、このような攻撃者の罠にかかる可能性を劇的に減らすことができます。特に端末向けのVPNが標準で搭載されている製品なら、デジタルの通信を暗号化して個人情報を攻撃者の目から守ってくれます。もちろんユーザー側にも、自分自身の責任で、信頼できるウェブサイトやネットワークのみを使用するように、細心の注意を払う必要があります。つまり、公共のWi-Fiを使うときはシンプルな作業のみにして、オンラインショッピングは家のネットワークから行うのが一番いい方法です。公共Wi-Fiでの機密情報や金融情報の入力は控えることを習慣にしましょう。

(4)ローグアプリ(悪意のあるアプリ)


Bitdefenderのコンシューマー脅威レポート2020によると、パンデミック中に急速に需要が高まったビデオ会議向けのソリューションは、攻撃者に新しい攻撃の機会を与えることにもなりました。多くのユーザーが非公式のアプリストアからZoomをダウンロードし、Zoomのインストーラーを装ったマルウェアの被害に遭ってしまいました。

公式のGoogle Playストア以外のレポジトリからAPKファイルをダウンロードさせるサイドローディングの手法は、Androidユーザーに根強く使われている、と最近の調査でBitdefenderの研究者は指摘しています。

Bitdefenderラボの最新のレポートでは、「公式ストア以外からアプリをインストールするように、ユーザーを巧みに誘導することと併せて、犯罪者はサイドローディングを使ってマルウェアを拡散させています。もしアプリをダウンロードした端末にセキュリティソフトが入っていなければ、マルウェアは端末内で自由に動くことができてしまいます。」と報告されています

攻撃者はサイドローディングを活用してTeabotと呼ばれる(Anatsaとしても知られている)Androidマルウェアを配置します。このマルウェアは、アクセシビリティサービスを利用してオーバーレイ攻撃(※)を実行します。Teabotはメッセージの傍受、キーロギング、Google認証コードの詐取、ユーザーの携帯電話をリモートで完全に操作することも可能です。Teabotは、アドブロッカーやアンチウイルスアプリなど、よく使われるGoogle Playストア公式アプリの偽アプリに仕込まれています。

※オーバーレイ攻撃
アプリ等の上に画像やボタンなどを重ねることで、ユーザーに気づかれずに認証情報を詐取したり、デバイスにマルウェアをインストールさせたりする攻撃。

(5)貧弱なパスワード運用


個人用デバイスの中でも、スマートフォンには私たちの機密情報がとても多く含まれています。0000や1234など簡単に思いつくパスワードを使うのは、侵入してくださいと頼んでいるようなものです。スマートフォンのアクセス許可に使用するパスワードについても同様です(Apple IDやGoogle アカウントなど)。同じパスワードをすべての場所で使用していると、遅かれ早かれパスワードがデータ漏えいの被害に遭う可能性が高くなります。データスクレイピングパスワードスプレー攻撃を使って、攻撃者はあなたの個人情報とスマートフォンに紐づく漏えいしたアカウントを紐づける事ができてしまいます。個人情報や金融情報を取得するだけでなく、持ち主からスマートフォンを操作する権限を奪うこともできてしまいます。

モバイルセキュリティ


"自分のスマートフォンに関連するセキュリティリスクとは何か?"と考えることが、サイバー脅威から自分を守る正しい行動への第一歩です。
BitdefenderモバイルセキュリティはiPhone、Androidユーザー向けに提供されており、モバイルに特化した脅威に対するフルプロテクションや、ウェブ閲覧時にも高速で匿名の通信を行うセキュアVPNを提供します。Bitdefenderモバイルセキュリティは、パスワード、個人情報、金融情報を保護し、インシデントを検知した場合には即時に警告を出します。


翻訳元記事 The Top Five Security Risks Smartphone Users Face Today