2015.02.03

スマートデバイス脅威の最新動向~ビジネス活用に向けたセキュリティ対策とは

MDM企画リーダーの川本です。今回は、マルウェア対策をはじめとした世界トップクラスのセキュリティ事業者であり、「KDDI Smart Mobile Safety Manager」サービスのウイルス対策オプションのエンジンとしても採用しているトレンドマイクロ株式会社の執行役員・統合政策担当部長である小屋晋吾氏に最新のスマートデバイスの脅威動向や、スマートデバイスをビジネスに活用するために必要となるセキュリティ対策への対応について議論させて頂いた内容を掲載します。

1

川本:スマートデバイスのビジネスへの利用には脅威を理解した上でセキュリティ対策を実施しなければなりませんが、御社から発表された「モバイル端末を狙った不正アプリ及び高リスクアプリが200万を突破」という記事を拝見し、スマートデバイスも攻撃の対象としてリスクが増加していると感じています。最近のスマートデバイスにおける攻撃の状況はいかがでしょうか。

2

小屋氏:その記事は、2014年3月時点のものですね。同年9月には、Android向けの不正アプリや高リスクアプリの検出数が350万となるなど急増しており、今後も継続して数値は伸びていくと考えられます。スマートデバイス内のアドレス帳データなどに、機密情報を不正に窃取する機能を追加してリパックするパッケージ等も無償で配布されているため、不正な機能入りのアプリ作成が容易に可能となるわけです。ツール形態で配布されているため、多少のIT知識があれば誰でも作れる状況にあります。

川本:Webで検索すれば、簡単に不正アプリを作成するためのパッケージを見つけることが出来、使い方さえわかれば誰でも不正アプリが作成可能なのですね。これならハッカーになりたいと思ったら簡単になれますね。

小屋氏:そうですね。AndroidはLinux系ツールになるので、正規アプリのリバースエンジニアリングが比較的容易に可能です。不正機能もモジュールで提供されるので、後はツールで不正モジュールを組み込んでしまうだけで、正規アプリを簡単に不正アプリにすることができます。不正アプリを配布するとなったら偽ダウンロードサイトを作るなり、強制的にユーザへメールなどで送りつけるなど、それほど難しい事ではありません。従ってAndroidに関しては、不正アプリがまだまだ増えていくでしょう。

川本:Androidに比べて安全といわれているiOSへの脅威はいかがでしょうか?

小屋氏:iOSは、OSの作りからしてもアプリケーションをダウンロードしてから使うユーザーサイクルからしても、比較的堅牢でした。しかしいつまでも安全というのはIT機器においてはありえないですね。また、アプリだけでなくウェブサイトを閲覧するソフトウェアが不正なサーバに誘導されてしまい、そこからデータを入力してしまうのであれば、AndroidもiOSも変わらないですからね。

川本:確かに、Webサイトに関しても不正サイトへ誘導されてユーザIDや機密情報を窃取されるなどの脅威がありますね。

小屋氏:iOSは、基本的にはApp Storeからしかダウンロードしませんが、法人の場合は自社用に開発したアプリをApp Storeとは別に配布可能な「iOS Developer Enterprise Program」がありますよね。その機能を利用して、他の場所から操作するという攻撃も出ています。この攻撃手法から企業が独自開発したアプリを狙った場合には不正アプリとしてデバイスに配布することは不可能ではないですね。

3

川本:Android、iOSへの脅威について、よく理解できました。実際にスマートデバイスに入っているアドレス帳などの個人情報や企業のリソースを利用するためのID/パスワードなどの機密情報がハッカーなど第三者に窃取されたなどの被害報告はあるのでしょうか。

小屋氏:はっきりそういった事故が起きたと宣言している企業は無いものの、おそらく起きているということは想定できるんですね。現時点では、ログの残り方もPCとは異なるため、データを抜かれたかどうかがわかりにくいという現状があります。またログを取得していても、攻撃者は攻撃に関連するログだけを消してしまうため、後からログを調査しても発見することができない場合があります。

川本:なるほど、スマートデバイスにおけるロギング方法は課題ですね。現状のスマートデバイスの脅威は、不正アプリやウェブサイトを通じた脅威が中心ですが、他に対策が必要な脅威はありますか?

小屋氏:当社調べのデータでは、モバイル端末の4%程度は「紛失する」など物理的な脅威があるとのデータがあります。端末自体のセキュリティ対応、無くした後に必要な対処が出来ているのか等、設置型のPCとはまた違う対策する必要があります。

法人をターゲットにした攻撃事例とは

4

川本:法人のスマートデバイスをターゲットにした標的型攻撃などは発生しているのでしょうか?

小屋氏:スマートデバイスに関しては、攻撃プログラム自体は二年ほど前から発見しており、今後、これらが使われる可能性があります。また、海外では攻撃事例が報告されています。インターネットには国境はないので、当然のことながら日本も攻撃対象となってきます。PC上での攻撃では、既に日本語に対応したツールやテンプレートも出ていますし、日本人が加担していると思われるケースも多々あるため、スマートデバイスにおいてもPC同様に標的型攻撃の脅威があります。

川本:実際の攻撃手法はどのように行われているのでしょうか?

小屋氏:最近は「水飲み場攻撃」といって、例えば、バッテリーに興味のある方を対象に標的型攻撃を仕掛けたいので、まずバッテリーの情報がアカデミックに解説されたサイトを乗っ取り、エクスプロイトコードを埋め込んで、サイトへアクセスした人の情報を盗む手法があります。現在のところ、PC向けの攻撃がほとんどですが、今後はスマートデバイスを狙ってくる事も推測されます。

川本:PC中心の攻撃が多いとのことですが、スマートデバイスへの攻撃はどうでしょうか?

小屋氏:攻撃の総量としては、引き続きPC向けが多いです。攻撃者としては、目的を達するためにどのようなルートが安いコストで目的を達成する成功率が高いかを考える。国内においては、スマートデバイスだけで仕事をしている企業は少ないかと思われるので、一般的にはWindows OS,Windowsアプリケーション、ミドルウェアの脆弱性を狙った攻撃が圧倒的に多いですね。

川本:Windows向けの攻撃がベースにあり、それらが現在の攻撃の量になっている訳ですね。攻撃手法のテンプレート化や攻撃スキル習得等の効率化が図れた場合には、スマートデバイス向けの攻撃が増えてくる可能性もありますね。

小屋氏:当然あります。攻撃対象はインターネットに繋がっている業務関連時間の総量によると思います。

何か起きてからでは遅い。会社、社員を守るためのセキュリティ対策

5

川本:現在、KDDIはスマートデバイスのセキュリティ対策として、MDMサービス「KDDI Smart Mobile Safety Manager」を提供しています。PCにウイルス対策が必要なように、スマートデバイスにMDMは必要不可欠と考えていますが、導入率は100%とはいかない状況です。2年前と比較しMDMの導入は急増しているものの、スマートデバイスへのセキュリティ対策状況はまだまだ低いと感じています。その点はどのように感じていらっしゃいますか?

小屋氏:まったく同感ですね。業務に使うデバイスとして、企業が社員の使うスマートデバイスをコントロールしようという意識が薄いと思います。「スマートデバイスを会社の機密情報が載る重要なインフラとして捉えているか」という観点が経営者やIT管理者に無ければ、会社はルールを定めるだけで、個人にセキュリティ対策を任せてしまっている状態になります。デバイスのコントロールを放棄している場合、何か問題が起きた時に「社員の責任なのか、会社の責任なのか」という問題が必ず出てきます。それを事前に対策するのが経営者の役目であり、会社のため、社員のためとなる。社員を守るという点でも、しっかり対応するという事が毅然とした会社の対応です。

川本:経営者やIT管理者は業務利用におけるリスクとセキュリティ対策をもっと考える必要がありますね。お客さまによってはMDMは導入したが実際の活用までに至らないケースも多く見られます。スマートデバイスにMDM設定が入っていることで安心し、MDM運用までは行っていない方もいらっしゃいます。

小屋氏:中小企業の場合、何かが起きてしまったらリソースもないので、大騒ぎになります。元請けの情報が漏えいしてしまったら会社の経営を左右しかねない。周りが事故を起こしてからでは遅いので、リスクがあるのであれば、事前に対策する意識を持っていただきたいし、IT管理者は常に現在の脅威について知っておく必要があります。

川本:サービスの導入だけでなく運用も重要ですね。当社はスマートデバイスとMDMによるセキュリティ機能の提供だけでなく、お客さまのスマートデバイスの運用作業を請け負うことや、中小企業の方にはMDMと運用作業をパックにした「KDDI デバイスマネジメントパック」も提供していますので、お客さまの運用負担を軽減することも可能です。

今後の企業におけるセキュリティ対策は?

6
出典:IPA グローバル化を支えるIT人材の確保、育成施策に関する調査 2011年3月

川本:これからの企業のセキュリティへの取組みとして、どうなっていくべきと考えていますか?

小屋氏:日本はアウトソースビジネスが成り立っているので、その分野のプロに任せるというのがいいと考えています。大企業ならば自社の運用も可能ですが、中小企業は専任の人材を確保することは難しい場合もあります。日本と欧米とのIT人材の比率を見るとわかりますが、欧米のエンドユーザ企業におけるIT人材が7割なのに対し、日本はエンドユーザ内に3割、SIer含め外部に7割いるという現状です。日本ではSIerなど外部の人材がネットワークから業務アプリケーションまでを提供することでITシステムが成り立っている。一概にどちらがいいというわけではないが、エンドユーザだけを切り出してみれば、IT知識は欧米より低いという結果になります。全ての業務をアウトソースするのでは元請けの責任がなくなってしまうので、外部委託先は正確なデータと世の中的に考えられる閾値で明らかにおかしいことは元請けに伝え、最終的な判断は元請けが行うなど、それぞれの責任を明確にすることが重要だと思います。

川本:セキュリティ対策ならばトレンドマイクロ、スマートデバイスと運用ならばKDDIといったプロに任せることでお客さまは自身の事業活動に注力することができますね。お客さまのビジネススピードを加速させるために、今後も企業の安心、安全を実現するサービスを提供できればと思います。
本日はスマートデバイスのセキュリティ対策に関する貴重なお話をいただき、ありがとうございました。

小屋晋吾さんプロフィール
トレンドマイクロ株式会社の執行役員・統合政策担当部長。
日本サイバー犯罪対策センター、日本ネットワークセキュリティー協会、
日本スマートフォンセキュリティフォーラム、一般社団法人コンピュータソフトウェア協会等で理事を務める。
政府各機関へのITセキュリティ政策への働きかけ及びトレンドマイクロの社会貢献活動の立案・実施を行っている。

カテゴリ
タグ

KDDI株式会社 ソリューション事業企画本部
クラウドサービス企画部

川本 孝明

新着記事
タグ
アーカイブ
カテゴリー
Contact
TOP