EVENT | 2019/09/18

スマホを標的とするサイバー攻撃がますます巧妙化。SIMカードの脆弱性を突く、公共USBポートを利用するなどの新たな手口も

Photo By Shutterstock
スマートフォンを標的とするサイバー攻撃は近年増大傾向にあり、その手口はます...

SHARE

  • twitter
  • facebook
  • はてな
  • line

Photo By Shutterstock

スマートフォンを標的とするサイバー攻撃は近年増大傾向にあり、その手口はますます巧妙化している。一般ユーザーだけでなく、企業の情報インフラを構成する重要な要素のひとつとしても、いまや欠かせない存在となったといえるだろう。より価値のある情報を扱う機会も増えていることが、サイバー攻撃者を引き寄せているのだ。

伊藤僑

Free-lance Writer / Editor 

IT、ビジネス、ライフスタイル、ガジェット関連を中心に執筆。現代用語辞典imidasでは2000年版より情報セキュリティを担当する。SE/30からのMacユーザー。著書に「ビジネスマンの今さら聞けないネットセキュリティ〜パソコンで失敗しないための39の鉄則〜」(ダイヤモンド社)などがある。

スマホを標的とするサイバー攻撃が深刻化

IPA(情報処理推進機構)が8月に発表した「情報セキュリティ10大脅威 2019」や、大手セキュリティベンダーのトレンドマイクロが9月に発表した「法人システムを狙う脅迫と盗用〜2019年上半期セキュリティラウンドアップ」などのレポートでも、スマートフォンを標的とするサイバー攻撃の深刻度が分かる。

スマートフォンを標的とする脅威としては、どちらのレポートでも「モバイルマルウェア(モバイル機器を標的とする不正アプリ)」が取り上げられているが、警戒すべきはそれだけではない。

クレジットカードの不正利用やフィッシングによる個人情報の詐取、メールなどを使った脅迫・詐欺の手口による金銭要求、ネット上の誹謗・中傷・デマ、偽警告によるインターネット詐欺、インターネットバンキングの不正利用、インターネットサービスへの不正ログイン、ランサムウェアによる被害、ビジネスメール詐欺による被害、不正マイニングによる被害など、スマートフォン利用者も被害を受ける可能性のある脅威が数多く取り上げられている。

また、スマートフォンには、パソコン以上に置き忘れや盗難が発生しやすいという物理的な問題点も存在する。大半のサイバー犯罪は、スマートフォン利用者も攻撃対象となっていることを自覚し、しっかり対策を立ててておくべきだろう。

スマホ利用者が心がけるべき安全対策とは

スマートフォン利用者が心がけるべき安全対策の筆頭にあげられるのは、やはりモバイルマルウェアへの対策だろう。

モバイルマルウェアには多くの種類があり、誤って感染してしまうと、ログイン情報を含むさまざまな個人情報の盗難や遠隔操作による盗聴・盗撮、ランサムウェアによる恐喝、SNSやショッピングサイトでのなりすまし、仮想通貨マイニングへの悪用、DDoS攻撃などへのボット利用など、多様な被害を受ける恐れがある。

感染当初は特に症状が出ないが、バックドアを設けておいていつでも攻撃できるようにする。インストールした時点では正常なアプリだが、アップデートによって悪意ある機能が追加される。正規の利用方法では便利なアプリだが、使い方次第では個人情報の盗難などに利用できる……などなど、マルウェアによる攻撃は、ますます巧妙化しているので注意が必要だ。

Android端末とiPhoneを比べてみると、より多くのマルウェアが存在するのはAndroidだ。一部の例外はあるものの、基本的には審査の厳しい正規のAppStore以外ではアプリをインストールできないiPhoneの方が安全性が高いといえる。Android端末の利用者は、アプリをインストールする際には関連情報の収集に努めるなど慎重に行いたいものだ。

ただし、iPhoneの利用者も無防備にアプリをインストールするのは控えよう。過去には、厳しい審査をくぐり抜けてAppStoreで提供されていたマルウェアもあったので、インストールする前にユーザーの評価などにも注意を払っておきたい。

メールやSMS、SNS、ウェブサイトを介した詐欺や不正行為も増加・巧妙化している。

Appleや銀行などになりすましたメッセージ(「あなたのApple IDがロックされています」「銀行ネットサービスのバージョンアップを行ったのでパスワード変更をしてください」など)や広告(「あなたのPC・スマホでウイルスが検出されました」と表示され有料ソフトやアプリのダウンロード画面に飛ばされるなど)などが今も氾濫しており、誰もが被害を受けてもおかしくない状況となっているのだ。

特に注意が必要なのが、さまざまな理由を付けてログイン情報の確認を求め、IDやパスワードなどの入力を促す手口だ。メッセージにリンクが記されていても、正規サイトからアクセスし直す慎重さを持ちたいものだ。ただし、金融機関の正規サイトにアクセスした際に偽の入力画面が表示される手口も確認されているので、各社の注意喚起情報を確認することも大切だ。

こうした偽メッセージやウェブサイトは企業の公式サイトでも注意喚起が掲載されていたり、カスタマーサービスに問い合わせしたりすることも可能なので、少しでも怪しいと感じたら、関連情報を収集してその真偽を見極める習慣をつけたい。

SIMの脆弱性を狙うなど新たな攻撃手法も登場

アイルランドのセキュリティベンダーAdaptiveMobile Securityによれば、スマートフォンなどで利用されるSIMカードの脆弱性を狙った攻撃手法が見つかったという。同社の研究者が公表した報告書では、「Simjacker」と名付けられたこの攻撃手法を用いて、少なくとも過去2年間、複数の国で個人の追跡および監視が行われてきたというのだ。

Simjackerの手口は、攻撃者が被害者のスマートフォンにSMSを送信し、SIMカード内に常駐する「S@Tブラウザー」という古いソフトに命令を送るというもの。それにより攻撃者は位置情報とIMEIを取得できるとされる。

この攻撃がやっかいなのは、SMSが受信ボックスに残らず、iPhoneを含めたほぼすべての端末で使用できるという点だ。しかも、すでに同攻撃が実施されている痕跡が確認できるという。同攻撃をブロックするためには、携帯通信キャリア側での対策が必要とのことなので、ユーザー側では待つしかないようだ。

このほかにも、来年の東京オリンピックの開催を控え、空港やカフェ、ホテルなどに設置されている充電ポート(USBポート)の利用者から、スマートフォン内のデータを盗んだり、マルウェアを仕込む「Juice Jacking(ジュースジャッキング)」攻撃を警戒する声もセキュリティ関係者から上がっている。まだ、具体的な被害報告はないようだが、安易に公共の場所で充電ポートやケーブルを利用することは控えた方が良さそうだ。