世界トップ100のモバイルバンキングアプリケーションのうち50を調査したところ、どのアプリケーションも複数の脅威に対して脆弱な状態にあることがわかりました。モバイルアプリは企業の社内ネットワークを介して価値の高い資産にアクセスしますが、そのルートは驚くほど短く、しかも無防備です。世界有数の大企業でさえ、モバイルの脅威に真剣に対処できていない事実に、当惑せざるを得ません。

モバイルのセキュリティがいま重要である理由

今日の一般的な組織では、企業データを格納したり利用したりするデバイスの60%がモバイルデバイスになっています。企業のリーダーはスマートフォンを介して頻繁に、顧客からのメールに返信したり、インスタントメッセージのチャット機能で即座にインシデントの情報を交換したり、共有のクラウドアプリで契約の内容を確認したりしており、その頻度を見れば、さきほどの60%という数字も驚くにはあたりません。常に携帯しているデバイスで最新の情報を確認できれば確かに便利です。企業はこの状況を是認しており、75%が「個人所有デバイスの業務利用」のポリシーを導入しています。

それどころか、いまや職場では、企業所有のデバイスや個別の（POS）デバイスよりも、私物のモバイルデバイスのほうが業務で多く利用されるようになっているのです。このようなデバイスは多くのリスクをもたらし、その数は増える一方です。

デバイスストレージやネットワークタップ装置、認証トークン、ビジネスアプリケーション、マイク、カメラ、GPS、加速度計機能など、攻撃者にとって宝の山になる数多くの標的が存在します。モバイルデバイスには、スパイカメラやデータ収集ツールに仕立て上げられてしまう隙があるのです。もとより、複雑さは攻撃者に有利に働く要素ですが、モバイルデバイスは新たなかたちで広く企業環境に複雑さをもたらしています。

モバイル環境を脅かす脅威の実態

モバイルの脅威は、明確にカテゴリの分類ができます。ユーザーの行動に関係する脅威、アプリケーションに関係する脅威、デバイスに関係する脅威、ネットワークに関係する脅威の4つです。簡単な例を交え、それぞれを詳しく見ていきましょう。

ユーザーの行動に関係する脅威

ここでは「ユーザーの行動」という言葉を使っていますが、ユーザーの行動に関係する脅威とは、必ずしもユーザーの過失によって生じた脅威だけを意味するわけではありません。ユーザーは常に便利なものに引き寄せられます。セキュリティプロフェッショナルや開発者には、これに対する備えが求められます。この脅威をもたらすユーザーの行動として特に知られているものとしては、ポリシーの違反や、私的用途での業務デバイスの利用、悪意のあるリンクのクリックなどがあります。

モバイル関連の侵害を受けたことのあるシニアプロフェッショナルの40%以上が、侵害はフィッシングに関係のあるものであったと述べています。フィッシング攻撃の話でまず最初に連想するのがフィッシングメールです。ただしモバイルを標的としたフィッシング攻撃の大半は、メールの代わりにメッセージングアプリやゲーム、ソーシャルメディアなどのプラットフォームを介して行われます。

このようなフィッシングのメッセージを受け取った人間が証言しているように、多くの場合、最も無視されにくいフィッシング詐欺の形態はテキストメッセージを介して行われるものであり、IDの盗取やIDの悪用の被害をもたらしています。

アプリケーションに関係する脅威

アプリケーションに関する脅威は2つに分類できます。悪意のあるアプリに起因する脅威と、不適切なコーディングで開発された業務アプリを原因とする脅威です。悪意のあるアプリは、Google Playストアに大量に出回っています。モバイルアプリに関していくつかの厳しい規約を設けているiOSのApp Storeでさえ、悪意のある多くのアプリが忍び込むことに成功しているのです。

デバイスに関係する脅威

デバイスに関係する脅威は主に、MDM（モバイルデバイス管理）に依存していることや、ハードウェアの信頼のルートが欠如していることに起因しています。デバイスに関係する脅威の例としては、デバイスの紛失を起因とする脅威と、オペレーティングシステムのアップデートを避けたために生じる脅威の2つを挙げることができます。

たとえば、57%以上のAndroidデバイスは、少なくとも2つ前のバージョンのオペレーティングシステムで利用されており、これは言い換えれば、1台のデバイスに507の既知の脆弱性があることを意味します。使い勝手が悪くなることを嫌って多くのユーザーがオペレーティングシステムのアップデートを避けていますが、それでは、セキュリティ上の重大な問題が発生するおそれがあります。

ネットワークに関係する脅威

公衆WiFiネットワークは、セキュリティプロフェッショナルを悩ます存在です。正式に禁じられている場合でも、80%以上の従業員が公衆WiFiを業務に利用しています。ポリシーを守るよう強要しても意味がありません。公衆WiFiの利用をただ禁じるだけでは効果はないのです。利便性と安全性を両立できるほかの対策を見つける必要があります。

現実に起こっている問題

これらの脅威は以下の3つの観点から現実の世界に影響を及ぼします。

1. 単一のデバイスにアクセスできる機会を攻撃者に与える。この結果、攻撃者は機密データの窃取や改ざん、破壊が可能になる。
2. クラウドアプリやデータベース、サーバー、ピア システム、ネットワーク、データセンターなどのより大きな多数の環境にアクセスできるエントリーポイントを攻撃者に提供する。
3. ソーシャルネットワーク内で他人を攻撃するための攻撃拠点や、DDoS（分散DoS攻撃）などの大規模攻撃を後で仕掛けるための足掛かり、あるいは、メッセージキュー監視機能などの役割を果たす。このケースには、多くのパターンがあるため、ここでは詳しい説明は省略します。

1つ目のケースは比較的シンプルです。攻撃者は標的のスマートフォンにアクセスすると、そのスマートフォンを利用してユーザー名やパスワード、クレジットカードの情報などの機密データを盗み取ります。

2つ目はもっと深刻なケースであり、企業ネットワークに侵入するためのエントリーポイントにモバイルデバイスが使用されています。

次のようなケースを考えてみましょう。ある企業の環境にランサムウェアが攻撃を仕掛け、そのアラートがセキュリティアナリストのところに届きました。調査の結果、マルウェアがネットワーク内でラテラルムーブメントを行っていることがわかりました。すでに脅迫状を投下しており、複数のコンピューターでファイルをロックしようとしています。既存の管理機能が威力を発揮し、攻撃はすぐに食い止められました。攻撃ツリーの大半も把握できましたが、インシデントの根本原因を突き止めることはできませんでした。

この例で何かできることはあるでしょうか。実際にどこから攻撃が始まったのか理解できない状況では、表面化している事象に対処するしかないのではないでしょうか。それでは、もしも、この攻撃が、一般に広く普及している安全でないいずれかのモバイルバンキングアプリに起因するものだとしたらどうでしょうか。

やはり多くのセキュリティチームでは、目に見える問題に対応することしかできません。このようなインシデントを完全に解決できるツールを持っていないのです。

セキュリティソリューションを選ぶ自由のある組織であれば、モバイル上の脅威を検知する機能である、モバイルEDR（エンドポイントにおける検知と対応）のようなツールを、既存の管理機能とは別に使用できるでしょう。

しかしそのような場合も、既存の管理機能を通じてネットワーク上に見つけた攻撃と、新たなツールによって発見した攻撃との間にある因果関係を手作業で明らかにする必要があります。当然のことながら、セキュリティツールが連携していない状態では、問題を解決するまでの時間が長引き、アナリストがミスを犯す可能性も高くなってしまいます。

モバイルのセキュリティでセキュリティの責任者が取るべき最良のアプローチは、ノートPCであれ、ワークステーションであれ、モバイルデバイスであれ、セキュリティの対象がエンドポイントであることをまずは認識することです。エンドポイントはエンドポイント以外の何物でもありません。

モバイルデバイスの保護を考える場合、既存のツールにモバイルのセキュリティを統合する方法が最も効果的です。このアプローチなら、共通のテレメトリを用い、攻撃者と全く同じ視点で、単一の統合インターフェースから攻撃を把握でき、エンドポイントの状態を詳細に掴むことが可能です。

ホワイトペーパー「情報漏洩」

多くの企業はサイバーセキュリティの保護および検知ソリューションに数100万ドルも費やしていますが、Ponemon Instituteの調査によれば、情報漏洩が発生してから平均256日間も検知されないとのことです。

情報漏洩が明らかになった後、セキュリティチームがその攻撃による全体的な被害と重大度を調査するのに通常、さらに1ヶ月間を要します。これにより、対応時間が大幅に引き延ばされた結果、ビジネスに対して壊滅的な経済的損失を及ぼすことになります。

なぜ情報漏洩を阻止できないかの原因を本書を通じて、理解することができます。

https://www.cybereason.co.jp/product-documents/white-paper/1036/