MTD選定、5つのチェックポイント【狙われるモバイル端末(4)】

IT・IT製品TOP > Key Conductors > 石谷 匡弘(ルックアウト・ジャパン株式会社) > MTD選定、5つのチェックポイント【狙われるモバイル端末(4)】
この記事をtweetする このエントリーをはてなブックマークに追加

IT現場の道先案内人 Key Conductors

MTD選定、5つのチェックポイント【狙われるモバイル端末(4)】

スマートデバイス 2017/02/23

 前回は、モバイル管理ソリューション(EMM)とモバイル脅威対策ソリューション(Mobile Threat Defense、 MTD)を連携させることで、効果的かつ効率的にモバイルセキュリティ対策が実現できることを紹介しました。今回は、モバイル脅威対策ソリューション(MTD)を選ぶ際に押さえておくべき機能を5つ紹介したいと思います。

1.モバイルマルウェアおよびサイドローディングアプリの検知
2.リスキーアプリの検知
3.侵害されているOSの検知
4.ネットワーク脅威の検知
5.MDM/EMMとの連携

1.モバイルマルウェアおよびサイドローディングアプリの検知

 PC/サーバのマルウェア対策と同様、モバイルマルウェア対策もシグネチャベースやビヘイビアベースだけでなく、ゼロデイ攻撃に対抗できるリアルタイム防御技術が必要となります。リアルタイム防御ではビッグデータを活用した予測的技術が有効ですが、そのビッグデータが、モバイルマルウェアに特化していることが重要です。モバイルマルウェアはPC/サーバを狙うマルウェアとは異なるため、PC/サーバで利用しているセキュリティソリューションプロバイダーがモバイルマルウェア対策にも十分対応できるかを確認してください。  

 また、マルウェア検知だけでなく、サイドローディングアプリ検知できるかも確認してください。サイドローディングアプリの全てが危険であるわけではありませんが、リスクの低減という意味ではサイドローディングアプリを検知できることが望ましいでしょう。

2.リスキーアプリの検知

 第3回でも説明しましたが、リスキーアプリとは、マルウェアではないものの、コンプライアンスの観点から利用が懸念されるアプリです。会社のポリシーとして、「国外にデータを送信するアプリは利用不可」としたい場合に、何万件も存在するモバイルアプリの細かい動作を一つ一つマニュアルで把握し、それぞれを利用不可に設定することはほぼ不可能でしょう。これらリスキーアプリを容易に識別できる機能が実装されているか確認してください。

3.侵害されているOSの検知

 モバイル端末のジェイルブレークやルート化は、OS自体が持っている本来のセキュリティ機能を著しく低減させます。Lookoutの調査*では、2015年11月には、ユーザーが誤ってインストールすると自動で端末をルート化し、削除もできないというマルウェアを2万件以上検知しているなど、このようなマルウェアは世界的に増加傾向にあり、注意が必要です。  

 MDM/EMMでもジェイルブレークやルート化を検知する機能を実装していますが、未知のジェイルブレークやルート化を検知することは難しいといわれています。MTDでは、OSやファームウェアのフィンガープリント情報や設定、その他のデータを収集して端末のフィンガープリント情報を生成し、このフィンガープリント情報と侵害された可能性のある端末の情報と照らし合わせることで、MDM/EMMでは検知できない高度なジェイルブレーク/ルート化の検知が可能になります。
 
*「Lookout、トロイの木馬化した新たなアドウェアを発見」(2015年11月9日)

4.ネットワーク脅威の検知

 モバイル端末は常にデータ通信を行っており、公共Wi−Fiを利用するケースも増えるため、通信を傍受する攻撃を検知する機能がより重要度を増します。代表的な攻撃として、暗号化された通信をさまざまなテクニックを使って復号し、通信を傍受する「中間者攻撃(Man in the Middle Attack:MITM攻撃)」があります。この攻撃を検知するにあたり、Wi-Fi接続時の認証方式や、プロキシの有無、VPNの有無をもとに検出する手法がありますが、これら判断基準だけでは誤検知が多発するため、注意が必要です。

 ホスト証明書乗っ取り、SSLストリップ、TLSプロトコルのダウングレードなど、実際の攻撃の振る舞いを検出することができる、誤検知を最小限に抑える技術が提供されているかを検証してください。

<ホスト証明書の乗っ取り>
攻撃者が作成した不正な証明書を攻撃対象端末にあるルート証明書ストアにインストールさせる。この危険なルート証明書を利用した暗号化通信は、全て攻撃者により傍受可能となる。  

<SSLストリップ>
通常、接続先サーバからの指示によりHTTPs通信に置き換えられるべき機密通信を、HTTP通信のまま通信させることで通信傍受を行う。

<TLS プロトコルダウングレード攻撃>
暗号化通信の接続開始段階でリクエスト送信を妨害し、通信で利用する接続プロトコル または暗号スイートのバージョンを強制的に下げさせる。これにより通信傍受の脆弱性を保持する下位バージョンでの通信を実行させ、通信傍受を行う。

5.MDM/EMMとの連携

 最後に、選定したMTDがMDM/EMMとスムーズな連携ができるかを確認してください。MTDで検知した脅威をリアルタイムでMDM/EMMに送信し、モバイル端末利用を脅威のレベルごとに制限できるポリシー設定がスムーズに行えるかが重要です。連携していない場合、脅威を検知しても自動で脅威修復できないなど、迅速なセキュリティ対策が行えないケースが想定されます。また、既にMDM/EMMを導入済みの場合、MTDと連携できる別のソリューションに変更するなど、導入コストや運営上で問題になることもあるでしょう。

 モバイル脅威対策ソリューション(MTD)選定時に重要な5つのポイントを説明しましたが、実際問題として、どの程度の緊急性をもってMTDを実装すべきでしょうか。次回は、モバイル脅威の実態をインフォグラフィックで紹介します。

会員限定で「読者からのコメント」が読み書きできます! 「読者からのコメント」は会員限定の機能。会員登録を行い、ログインすると読者からのコメントが読み書きできるようになります。

会員登録(無料)・ログイン

Myリストへ

この記事をtweetする このエントリーをはてなブックマークに追加


この寄稿記事に掲載している情報は、掲載日時点での情報となります。内容は変更となる場合がございますのでご了承下さい。また、「Key Conductors」の寄稿記事及び当該記事に寄せられたコメントについては、執筆者及びコメント投稿者の責任のもと掲載されているものであり、当社が、内容の最新性、真実性、合法性、安全性、適切性、有用性等を保証するものではありません。


30009465


IT・IT製品TOP > Key Conductors > 石谷 匡弘(ルックアウト・ジャパン株式会社) > MTD選定、5つのチェックポイント【狙われるモバイル端末(4)】

このページの先頭へ

キーマンズネットとは
モバ イルセキュリティの啓蒙活動を行うLookoutのエバ ンジェリスト兼エンジニア。CISSP保有。現在はLookoutにおいて大企業向けモバイルセキュリティ対策の提案や、モバイルセキュリティの認知度向上へ向けた啓蒙活動に従事する。

ページトップへ