なぜスマホにもセキュリティが必要なの?
スマホの脅威と対策をおさらい
スマホもパソコンと同様、さまざまなサイバー脅威にさらされています。「ネット詐欺」「不正アプリ」「脆弱性攻撃」「アカウント乗っ取り」「偽Wi-Fiスポット」などはその代表です。スマホを安全に利用するために必要な対策を押さえましょう。
スマホもセキュリティによる保護が不可欠
iPhoneやAndroid端末などのスマホは、現代人の必需アイテムの1つになっています。その用途は、Webブラウザを介したWebサイトの閲覧や、メール、SNS、ネットショッピングの利用だけにとどまりません。ビジネスや教育、健康、決済、動画、ゲームなどのさまざまなジャンルのアプリを追加することでアプリ専用コンテンツも利用できます。
利用者が多く、クレジットカード情報などのさまざまな情報が扱われるスマホは、サイバー犯罪者の格好の標的となっています。そのため、スマホにもパソコンと同様のセキュリティ保護が求められています。まずは、スマホの代表的な脅威を見ていきましょう。
スマホの脅威とは?
●ネット詐欺
ネット利用者を不正サイトへ誘導し、情報や金銭をだまし取るネット詐欺。その典型例がフィッシング詐欺です。これは、実在するネットバンキングやショッピングサイトなどの正規ログインページを装う偽サイトにネット利用者を誘導し、そこで入力させた情報を盗み出す手口です。詐取の対象は、個人情報や各種オンラインサービスの認証情報(IDとパスワードなど)、クレジットカード情報などさまざまです。ネット詐欺の中にはワンクリック詐欺やサポート詐欺と呼ばれる手口もあります。
不正サイトへの誘導手段としては主にメールやSMS(ショートメッセージサービス)、SNSの投稿、およびメッセージ、ネット広告などが使われます。サイバー犯罪者は実在する企業などを装ってもっともらしい内容のメッセージを送りつけ、受信者にURLリンクを開かせようとするのです。トレンドマイクロによると、2019年において不正サイトへ誘導された国内モバイル利用者数は200万件以上に上りました。2020年も1月から3月の3カ月間だけですでに前年の半数を上回る102万件に達しています。
図:不正サイトに誘導された国内モバイル利用者数推移、
2020年5月トレンドマイクロ調べ
●不正アプリ
不正アプリも深刻な脅威です。これは、スマホに入り込んで不正行為を働くアプリの総称です。万一、不正アプリをインストールしてしまうと、迷惑な広告をしつこく表示されたり、インストール済みのアプリを不正アプリに上書きされてしまったり、端末を不正操作されたりする可能性があります。また、自身の端末から勝手に不正なSMS(ショートメッセージ)を送られ、サイバー犯罪の踏み台にされる危険性もあります。
サイバー犯罪者はあの手この手でスマホ利用者をだまし、不正アプリをインストールさせようとします。たとえば、偽の不在通知メッセージを送りつけ、荷物を確認するためにはアプリが必要などと称して不正アプリの配布サイトへ誘導するパターンが確認されています。誘導先では、公式アプリやシステム更新ファイルなどを装って不正アプリをインストールさせるのです。また、チャットや広告などから誘導した不正サイトで、人気のゲームアプリなどを装う偽アプリが配布される場合もあります。さらに、公式アプリストア上でもゲームや便利機能、カメラアプリなどを偽装する不正アプリが紛れ込む事例も複数確認されています。
●脆弱性攻撃
スマホもパソコンと同様、OSの脆弱性を悪用するサイバー攻撃の脅威にさらされています。脆弱性は、プログラムの設計ミスや、開発時には見つからなかったバグなどが原因で生じるセキュリティ上の欠陥です。もし、スマホのOSに脆弱性を残したままにしているとさまざまな危険が及ぶ可能性があります。iOSでは過去、端末にインストール済みの正規アプリを不正アプリに置き換えられたり、端末を不正操作されたりする脆弱性が確認されました。Android OSでも端末内の情報を漏えいさせる危険がある脆弱性が複数報告されています。また、OSに限らず、アプリにも脆弱性がつきものです。
OSやアプリは機能追加だけでなく、脆弱性の修正を目的としたアップデートも行われることを覚えておきましょう。
●アカウント乗っ取り
各種インターネットサービスのアカウント乗っ取りも看過できない問題です。最近は、さまざまなオンラインサービスのアカウントを不正利用され、不正送金や勝手な商品購入、ポイントの窃取、登録情報の漏えいといった被害が発生しています。その原因の多くは、ログインに必要な認証を突破されてしまったことにあります。
サイバー犯罪者がアカウントの乗っ取りに用いる手口の1つがフィッシング詐欺です。正規サービスや著名な企業に偽装したメールで受信者をフィッシングサイトへ誘導し、そこで入力させたアカウント情報を盗み取る手口が複数確認されています。また、利用者から直接盗み取る以外にも、サービス事業者へのサイバー攻撃など、何らかの方法で不正に取得したアカウント情報をリスト化し、それらを使って複数のサービスへログインを試みる手口もあります。複数のサービスに同一のIDとパスワードを使い回していると、1つのIDとパスワードの組み合わせが流出しただけで複数のサービスのアカウントを芋づる式に乗っ取られてしまう危険があるのです。
●偽Wi-Fiスポット
街中のいたるところに設置されている公衆Wi-Fiを利用するシーンも増えているのではないでしょうか。しかし、公衆Wi-Fiの中には利便性を優先し、あえてセキュリティ設定を行っていないものや、管理の不備によりセキュリティが脆弱なものも存在します。また、悪意のある第三者は正規の公衆Wi-Fiスポットの周辺に同名、あるいは似た名称のSSID(ネットワーク名)を持つ偽Wi-Fiスポットを設置し、利用者を待ちかまえていることもあります。もし、そのようなWi-Fiスポットにつないでしまうと、通信内容を盗み見られたり、不正サイトへ誘導されてしまったりするかもしれません。
スマホの脅威別の対策を実践しよう
スマホのセキュリティを確保する大前提は、OSと信用できるセキュリティアプリを常に最新の状態に保つことです。これにより、脆弱性を悪用するサイバー攻撃や、不正サイトにアクセスしたり、不正アプリ*をインストールしたりするリスクも軽減できます。このポイントを押さえた上でさまざまな脅威に対抗するための策も講じましょう。
*iOSについては自社で公式アプリストア上のアプリの安全性を担保しているため、セキュリティアプリによる対策は適用外となります。
ネット詐欺対策
- ネット詐欺の手口と事例を知る
- メールやSMS、SNS上のURLリンク、ネット広告を安易に開かない
- SMSの進化版「+メッセージ」を利用する
※+メッセージでは、携帯電話事業者3社それぞれの審査をクリアしなければ企業の公式アカウントを開設できません。企業の公式アカウントには認証済みマークが付与され、利用者がメッセージの真偽を判断する目安にできます。
不正アプリ対策
- アプリを入手する際は、必ずGoogle PlayやApp Store、携帯電話事業者などが運営する公式のアプリストアを利用する
- 公式アプリストアであっても、アプリを入れる前にアプリ名や開発元、求められる権限、ネット上の評価や口コミなどを確認し、不審な点がないかどうか確かめる
- レビューの数やその内容を確認し、評価に極端な偏り(高評価と低評価が両極端となっているなど)や複数の同一コメントがある場合はインストールを避ける
- アプリに許可する権限に機能と直接関係ないようなものが含まれていないかどうか確認する
脆弱性攻撃対策
アカウント乗っ取り対策
- オンラインサービスごとに異なるIDとパスワードの組み合わせを使用する
- 第三者に推測されにくいパスワードを設定する
- パスワード認証とは別に二要素認証などを設定できる場合は必ず有効にする
- アカウントへのログインは必ずブックマークに登録した正規サイトや公式アプリから行う
偽公衆Wi-Fi対策
- 安易に接続せず、正規の公衆Wi-Fiかどうかよく確認した上で利用を開始する
- 必ずVPNアプリを利用して通信を保護し、VPN経由での通信が許可されていない場合は利用を控える
- 同じSSIDを設定した偽の公衆Wi-Fiに自動接続されないよう、利用した後は自動接続設定を削除しておく
スマホにはインターネット上の脅威だけでなく、紛失や盗難、破損への備えも必要です。本体のロックやデータのバックアップ、端末捜索機能の設定なども忘れずに行っておきましょう。
