iOSも攻撃対象に モバイルとPCは区別の意味なし…2016年業界予測

IT・IT製品TOP > Key Conductors > キーマンズネット 編集部(アイティメディア株式会社) > iOSも攻撃対象に モバイルとPCは区別の意味なし…2016年業界予測
この記事をtweetする このエントリーをはてなブックマークに追加

IT現場の道先案内人 Key Conductors

iOSも攻撃対象に モバイルとPCは区別の意味なし…2016年業界予測

エンドポイントセキュリティ 2015/12/21

 2015年は“サイバー犯罪と犯罪”の区別が付かなくなったように、2016年には“PCとモバイル”を区別しなくなる――2015年12月17日、モバイルデバイスのセキュリティ対策ソリューションを提供するルックアウト・ジャパンによる「2016年業界予測」が発表された。
 ルックアウト・ジャパン テクニカルアカウントマネージャーの石谷匡弘氏は「ビジネスにおいて、重要な資料はPCで作業し、モバイルでは見るだけというスタイルが変化する」と述べる。その時、セキュリティをどのように確保すべきなのか――。

ルックアウト・ジャパン テクニカルアカウントマネージャー CISSP 石谷匡弘氏

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

ルックアウト・ジャパン テクニカルアカウントマネージャー CISSP 石谷匡弘氏

2015年の振り返り――モバイル化に無関係な企業はない

 まず石谷氏は2014年末に行った「2015年業界予測」がどの程度当たっていたのかを振り返ることから始めた。2015年の予測として、「すべての産業がテクノロジー産業になるだけでなく、モバイル活用の方向に向かう」が挙げられていた。これが正解していたのかどうかは皆さんもよくご存じだろう。

 モバイルは日本の企業においても活用が加速している。企業においてまだモバイルなど不要、と思われるかもしれないが、コンシューマーとしての立場で考えると、「幼児がタブレット端末で動画を見ているだけでなく、おじいさんたち世代も孫の写真を見るのにスマートフォンを使っている。コンシューマーはビジネス視点で見ると『消費者』であるので、もはやモバイルは企業内だけの活用だけではなく、消費者に向けた戦略を打つべきもの」と石谷氏は述べる。

サイバー犯罪の相談件数の推移

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

サイバー犯罪の相談件数の推移
警視庁によるデータより http://www.npa.go.jp/kanbou/cybersecurity/H27_kami_jousei.pdf 

 更に、予測として挙げていた「サイバー犯罪は単に犯罪と呼ばれるようになる」という点についてもその通りになったと言えよう。警視庁のデータによると、サイバー犯罪の相談件数は右肩上がりで増加しており、今後は更に“モバイル端末を狙った犯罪”が増えるとルックアウト・ジャパンは想定している。

 そして2015年に最も注目されたのは「情報漏洩」のリスクだ。2015年6月には日本年金機構において大規模な情報漏洩事件が起きただけでなく、アメリカ連邦政府においても400万人以上の個人情報が流出したという事件が起きている。ルックアウト・ジャパンは個人情報保護は引き続き企業の最重要課題であり続けるとし、モバイル端末までを含めたセキュリティを検討すべきだとした。

2016年、iOSも「攻撃対象」へ

 そして2015年に注目された攻撃は、Appleの「iPhone」「iPad」で使われる“iOS”への攻撃だ。これまでiOSに対しては、アップルが運営するアプリストアへの登録時に、アップル自身がアプリをレビューすることで、悪意あるアプリの登録を未然に防いできたため、他のプラットフォームよりも安全であると信じられてきた。ところが、2015年9月には「XcodeGhost」と呼ばれるマルウェアアプリの配信が大きな話題となった。

 XcodeGhostとは、マルウェア製作者自身がアプリを作成するのではなく、iOS向けアプリを作るための開発環境「Xcode」自体にマルウェア作成のコードを不正に混入させたというものだ。開発環境自体に不正なコードが入っているため、アプリ開発者が気付かぬうちに「悪意あるアプリ」を作ってしまい、利用者の情報を盗まれていたというものだ。

iOSを襲った「XcodeGhost」の動作

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

iOSを襲った「XcodeGhost」の動作
ハッカーはアプリではなく「開発環境」を狙った。その結果、アプリ開発者は汚染された開発環境で、知らずのうちにマルウェアを作成してしまう。今回の事例ではAppleのレビューもすり抜けてしまったことも大きな問題だった。

 そのほかにも、Appleの正規のアプリストアを経由せずに不正なアプリをインストールさせる「Y!Specter」の出現や、大人気のアプリが実は不正にユーザーID/パスワードを取得していた「InstaAgent」の事例などが登場する。石谷氏は「2015年は転換期。企業がiOS端末を利用する事例も増えているので、これを標的にした攻撃が増加すると予想する。今後はiOSの脅威に更なる警戒が必要」と述べる。

 特に注意しなくてはならないのは、iOSにおける「構成プロファイル」を悪用した事例だ。通常、iOSは正規のアプリストア以外からはアプリをインストールできないが、構成プロファイルと呼ばれるファイルを手動でインストールすることで、個別に不正なアプリをインストールできてしまう。構成プロファイルをインストールさせないということは難しく、「現時点で対策ソリューションはないと認識している」(石谷氏)という。

2016年、PCとモバイルの区別はなくなる――モバイルセキュリティに注目せよ

 2016年の予測として、ルックアウト・ジャパンは「PCとモバイルの区別がなくなる」ことを挙げた。これはWindows 10以降、マイクロソフトはPC、タブレット、スマートフォンにおいて、OSを超えてアプリを共通化するなどの施策からも見て取れる動きだ。「これまでタブレット、スマホでは企業のデータを見るだけで、作業はPCで行ってきた。今後はこれまでPCでしか取り扱っていなかったような重要データを、モバイルでも扱うようになる」とし、モバイル端末におけるセキュリティ対策が重要だと述べた。

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

 また、今後スマートフォンが「個人を証明するデバイス」になる可能性についても石谷氏は触れる。「政府はマイナンバー普及に力を入れており、スマートフォンとマイナンバーを組み合わせた個人証明“デジタルwatashiアプリ”(http://www.meti.go.jp/policy/it_policy/id_renkei/151105_kento1_siryo.pdf)のコンセプトも登場している。これまでおサイフケータイや二要素認証の鍵として使われたスマートフォンが、今後は個人証明のツールになるかもしれない」と述べる。

モバイルデバイスとコンシューマーがつながる世界

 ルックアウト・ジャパンによると、同社のセキュリティ対策アプリによって1日に3万のアプリ情報を収集し、モバイルデバイスに不正なアプリが含まれていないかどうかを検証している。ある特定の公衆Wi-Fi内に接続した同社のアプリユーザにおいて、2000を超えるマルウェアの存在も確認したという。利用が広まるスマートフォン/タブレット/ウェアラブル端末といった「モバイルデバイス」に対する脅威は、利用者としてもビジネスとしてももはや無視できない存在だ。

今後はPCにおけるセキュリティ対策、モバイル向けのセキュリティ対策と分ける意味は薄くなる。自社のセキュリティ対策がモバイルに対しても適用可能なのかどうか、いま一度確認をしてみてはいかがだろうか。

会員限定で「読者からのコメント」が読み書きできます! 「読者からのコメント」は会員限定の機能。会員登録を行い、ログインすると読者からのコメントが読み書きできるようになります。

会員登録(無料)・ログイン

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この寄稿記事に掲載している情報は、掲載日時点での情報となります。内容は変更となる場合がございますのでご了承下さい。また、「Key Conductors」の寄稿記事及び当該記事に寄せられたコメントについては、執筆者及びコメント投稿者の責任のもと掲載されているものであり、当社が、内容の最新性、真実性、合法性、安全性、適切性、有用性等を保証するものではありません。


30008460


IT・IT製品TOP > Key Conductors > キーマンズネット 編集部(アイティメディア株式会社) > iOSも攻撃対象に モバイルとPCは区別の意味なし…2016年業界予測

このページの先頭へ

キーマンズネットとは
キーマンズネット編集部スタッフです。よろしくお願いいたします。キーマンズネットは企業・法人のIT選定・導入をサポートする総合情報サイトです。IT初心者から上級者まで、みなさまのさまざまなニーズにお応えします。

ページトップへ