モバイルを標的としたサイバー攻撃の動向とモバイル・セキュリティ

ルックアウト・ジャパン株式会社　営業部　SP　塩谷 信夫

はじめに

企業のデジタル・トランスフォーメーションが加速する中、業務端末としてのスマートフォンの存在価値はますます大きくなっています。またこれに比例して、スマートフォンをはじめとするモバイル端末のエンドポイント・セキュリティを確保することがこれまでになく重要となってきています。加え、今更あえて述べる必要もありませんが、昨今のCOVID-19によるテレワークの加速で、会社支給のモバイル端末だけでなく、BYODのデータや通信を企業としてどのように保護するかも重要な課題となっています。

今回は、スマートフォンを業務利用する際に、なぜモバイル・セキュリティが重要となってくるのか、そしてモバイル・セキュリティにはどのような機能が求められるのかをご紹介させていただきます。

ルックアウトについて

まず簡単に、ルックアウトのご紹介をさせていただきます。ルックアウトは2007年アメリカのサンフランシスコで創業した、モバイル端末に特化したセキュリティ・ベンダーです。同年、アップルからiPhoneがリリースされましたが、創業者はスマートフォンが情報デバイスとしてこれから地位を築くと考え、ルックアウトを立ち上げました。

当時、モバイル端末に特化したセキュリティ・ベンダーは存在しなかったため、北米4大キャリアのうち3キャリア（AT&T、Sprint、T-Mobile）が、Android端末にはルックアウトをプリインストールし、iPhoneには保険と一緒にバンドルする形でルックアウトを採用・販売しました。この早期参入もあり、ルックアウトはグローバルで既に1億8千万以上のインストールベースを有しており、これは競合他社と比較して一桁または二桁違うインストールベースとなっています。

第三者機関の評価をお借りすると、IDC MarketScapeの「世界のモバイル脅威管理セキュリティ・ソフトウェア2020ベンダー評価」においては、3年連続で市場リーダーに選出されております。これは、ルックアウトのセキュリティ・インテリジェンス機能や豊富なインストールベースの実績はもちろん、デジタル・トランスフォーメーションが加速する中、冒頭に触れたBYODに対してもゼロトラストを前提としたセキュリティ・アプローチを提供していることが高く評価されています。

詳細については、こちらのプレスリリースからご覧いただけます。また、こちらからIDC MarketScapeのレポートをダウンロードすることもできます。

サイバー攻撃の動向

それでは、実際のサイバー攻撃の動向を見てみましょう。

ご存知の通り、日本におけるインターネットへのアクセスは、既にスマートフォンからのアクセスがパソコンのそれを上回っています。総務省の情報通信白書によると、2019年度はスマートフォンからのインターネット利用が全体の約6割に達しています。この傾向は、今後更に加速していくでしょう。

しかしこれに伴い、攻撃者の標的は、パソコンからスマートフォンへ確実に移行しています。その対象も、これまでの個人への攻撃から企業への攻撃に移行しつつあります。攻撃者も投資が必要となり、また攻撃の目的は主に金銭となるため、より大きなリターンが期待できる企業を標的とすることは理にかなっています。

また攻撃手法も、単一型から複合型へと移行しています。例えば、フィッシングとマルウエアの組み合わせ、あるいはフィッシングと脆弱性を突いたエクスプロイトの組み合せなど、複雑化かつ巧妙化しています。スマートフォンを安心・安全に業務利用する上で、多層防御型のモバイル・セキュリティが必須と言われる所以です。

増加の一途をたどる企業を標的としたフィッシング攻撃

先に述べた、企業への攻撃増加が見て取れる弊社の調査をご紹介します。

こちらは、2019年の第１四半期から2020年の第1四半期にかけて、サイバー攻撃の動向をまとめたグラフです。特筆すべきは、昨年2019年の1年間で、企業のモバイルユーザーを標的としたフィッシング攻撃が3倍以上に増加（第１四半期の4.55%から第4四半期の15.76%））していることです。

また、新型コロナ・ウィルスの感染拡大によるリモートワークが活発化し始めた今年2020年の第１四半期には、全四半期よりもさらに25%程度の増加（2019年第4四半期かの15.76%から2020年第1四半期の21.61%）が見て取れます。元々リモートワークが進んでいた欧米においても、グローバル企業の聞き取りによる調査で、「オンサイト従業員の遠隔勤務（リモートワーク）を更に加速する」という結果が出ていたため、弊社ではモバイル端末を標的としたサイバー攻撃の割合は2020年にさらに加速すると予測しておりましたが、それが現実のものとなった形です。

一方で、新型コロナ・ウィルスの感染拡大が続く中、企業ではクラウドファースト＆モバイルファーストなワークスタイルへの変革が急遽検討されています。しかし、企業では社員のセキュリティ教育に十分な時間を割く余裕がないため、モバイルによる安心・安全な業務遂行を実現する上で、シンプルで分かりやすく、かつ十分な情報セキュリティを実現するモバイル・エンド・ポイント・セキュリティ・ソリューションの導入が急務となっております。

モバイルを対象としたフィッシング攻撃

それでは、スマートフォンはPCと比較してどのようなセキュリティ・リスクが存在するのか、いくつかご説明します。

• 画面が小さい
  • フィッシングの格好たる標的となる、スマートフォンの弱みです。偽造サイトに気付くことが極端に難しくなります。
• 入力が面倒
  • PCよりも入力することに集中するため、例えば偽造サイトの見極めや判断力がにぶります。
• 沢山のアプリをインストールする
  • ある程度はアプリマーケットによる検閲を通していますが、PCに比べてたくさんのアプリをインストールするため、悪意のあるアプリによる危険度が増します。

以上を念頭に、モバイル端末を対象としたフィッシング攻撃の一例をご紹介します。

こちらは、実際に企業を標的にしたフィッシング・サイトになります。一見して、どちらが本物でどちらが偽物か、見分けがつきますでしょうか？赤丸の箇所をよく見ると、本物とは異なる表示であることが分かりますが、ITやセキュリティ部門に属しない従業員が怪しいと判断することは非常に困難です。特に、前に触れたスマートフォンの画面の小ささにより、URLの後半に含まれた怪しい文字や、巧妙に偽装されたインターフェースに気付くことはほぼ不可能であると言えます。攻撃者は、こうした偽装サイトを通じて、企業のモバイル・ユーザーのログイン情報を詐取したり、偽装サイトからマルウエアやエクスプロイトを送信するなど、様々な攻撃を展開しており、もはや社内教育だけでは防ぎようがない脅威が現実のものとなっているのです。

このフィッシング・サイトへの誘導による攻撃以外にも、OSのゼロデイ脆弱性を利用した攻撃、不正Wi-Fiを利用した情報の抜き取りなど、他にも様々なセキュリティ・リスクがスマートフォンの業務利用には潜んでいますが、今回は他の機会に委ねます。

まとめ

以上、必然的な時流によるテレワークの普及に加えて、新型コロナ・ウィルスの影響もあり、リモートワークやBYODはここ半年で一気に加速しました。しかしそれに伴い、攻撃対象も個人から企業ユーザーへと広がりを見せ、またフィッシング手法は日に日に巧妙さを増しています。これまでの、シグネチャーベースのマルウエア対策だけではなく、AIによる予測技術を駆使したマルウエア対策、フィッシング対策、不正Wi-Fi対策、そして脆弱性対策を包含した多層防御型ソリューションを用いて、ゼロトラスを前提としたセキュリティの実現が企業にとって急務となっております。

また、スマートフォンの業務利用は経営者が考える以上に広まっています。例えば、これまではPC利用の合間をぬって使われていたスマートフォンが、ややもすると終日スマートフォンで業務ができる環境になってきています。

次回は、「モバイルファーストとクラウドファースト時代のセキュリティとインフラの抜本改革（仮題）」と題して、今回ご紹介した時流に対応したセキュリティを構築するために取るべき企業の具体的な行動施策についてご紹介する予定です。

ルックアウトのソリューションのより詳しい内容やデモ、そしてゼロトラスト・セキュリティに関するご質問は、筆者の塩谷（sales-japan@lookout.com）まで、お気軽にご連絡下さい。