Verizon Mobile Security Index for 2019によれば、モバイルデバイス関連の侵害を受けたことがあると、33%の組織が認めていると言います。その割合は2018年の数字から27%増加しています。このデータが物語っているのは、今こそモバイル環境のセキュリティを確保しなければならないという事実です。しかし、この種の脅威に対する理解が、今は大きく欠如しています。

そもそも、モバイルという概念自体が何を意味するのでしょうか。

この場合、1980年までさかのぼるモバイルデバイスの歴史を考慮すべきでしょうか。それとも、スマートフォンのことだけを考えておけばよいのでしょうか。あるいは、Surface Proは、モバイルデバイスではなくノートPCなのでしょうか。

モバイルデバイスの場合、そのセキュリティは誰が守らなければならないのでしょうか。それは消費者ユーザーでしょうか。それとも、ハードウェアやソフトウェアのベンダー、あるいは企業ユーザーなのでしょうか。

モバイルコンシューマーユーザーを標的とする詐欺行為

OWASP Mobile Security Testing Guide』と『OWASP Mobile Application Security Verification Standard』の共同執筆者であるNVISOのJeroen Beckers氏は、今年のSANS Pen Test HackFest Summitにおいて、モバイルマルウェアとモバイルマルウェアが消費者に与える影響についての講演を行いました。

この講演でBeckers氏は、モバイルマルウェアが勢力を拡大している状況にあることを強調しており、モバイルデバイスのコンシューマーユーザーを標的とする攻撃のなかで特に用いられるものとして、ランサムウェア攻撃やサブスクリプション詐欺、広告詐欺、特典詐欺を挙げています。

●この講演の内容で注目すべきポイント

  1. Androidのアプリストアからソースコードを盗み出し、正規の署名済アプリケーションを装ったモバイルマルウェアを開発するのは、非常に簡単である
  2. さまざまな組織がモバイルマルウェアに対処するための対策を推進しており、OWASPもその1つである。また、ATT&CKを提供するMITREのような組織も、独自のフレームワークを新たに用意して、モバイルマルウェアの分類作業を支援している

総合的に考えてみると、企業を標的とするレベルの攻撃と比べれば、一般のユーザーを標的とした攻撃は取るに足らないものに見えます。確かに、モバイルマルウェアの標的として見ると、企業はずっと規模が大きく、攻撃の見返りも多くを期待できます。金銭面のさまざまな狙いを目論む場合にはなおさらです。

企業を標的とする、モバイルマルウェアによるスパイ活動

モバイルデバイスは、企業の社内データにアクセスするための入口の役割を果たし、さらに重要なことに、企業の社内ネットワークにアクセスするための入口にもなるのです。このデバイスは企業にどのような脅威をもたらすのでしょうか。

以下に2つの事例を取り上げます。

デバイス上にある企業の社内データを標的にするモバイルマルウェア

スタートアップ企業、WeRaiseMoneyのCEOは一日中会議に追われており、自分に届くメールは、スマートフォンで定期的にチェックしています。これはよくある事例で、電子メールの65%はまずはじめにモバイルデバイスで開封されます

このCFOのもとに、「【至急】融資についての質問」という件名のメールがCEOを名乗る相手から届きました。メールには、Googleドキュメントのリンクと思われるURLが記載されていました。なんの迷いもなくこのCFOは(フィッシング)メールを開きました。画面の小さなデバイスやモバイルデバイスの場合、このようにメールを開く確率が通常のノートPCの3倍にもなります。

CFOがリンクをクリックすると、Googleドキュメントが開く代わりにマルウェアがこっそりとスパイウェアをダウンロードしてデバイスにインストールしたのです。このスパイウェアにより、サイバー攻撃者は、デバイスの主要な機能のいくつかにアクセスできるようになりました。

ストレージ機能やネットワークタッピング、認証、ビジネス機能が使用できるようになったほか、マイクやカメラ、GPSを介した監視機能の利用も可能になったのです。これでほぼ完全に攻撃者はこのデバイスをコントロールできる状態になったわけです。内部の情報や個人情報を盗むことや、必要に応じてCFOの行動を監視し続けることが可能です。

この事例で注目すべきポイント:驚くほど簡単にだまされて、メール内の安全に見える実は不正なリンクをクリックしてしまうことが、画面の小さなデバイス使っている場合は特に多くなります。モバイルデバイスの場合、それをよく知っており、 常に手元に置いているがゆえに、誤った安心感を抱く可能性があるのです。モバイルデバイスには、個人情報やプライベートなデータが常に混在するので、実際のところ、ノートPC以上に慎重な扱いが欠かせません。

企業の社内ネットワークを標的にするモバイルマルウェア

ある企業のコンピューターにランサムウェアが攻撃を仕掛けました。このインシデントを調査したセキュリティアナリストの事例です。1つのアラートをきっかけとしていくつかのことがわかりました。ネットワーク全体でラテラルムーブメントが行われており、脅迫状が1通投下されていました。複数のコンピューターでファイルをロックしようとしていたことも明らかになっています。既存の管理機能が威力を発揮し、ランサムウェアの攻撃はすぐに食い止めることができました。攻撃ツリーの大部分も把握できました。しかし、インシデントの根本原因を突き止めることができませんでした。

ここで何かできることはあるでしょうか。実際にどこから攻撃が始まったのか理解できない状況では、表面化している事象に対処するしかないのではないでしょうか。

多くのセキュリティチームでは、これが限界です。このようなインシデントを完全に解決できるツールを持っていないのです。

「よく聞く話です。セキュリティチームはその場しのぎの対応で何とか耐えるしかありません。そのようなケースばかりが目に付きます」
Cybereason Inc. パートナーマーケティング担当ディレクター、Maor Franco

セキュリティソリューションを選ぶ自由のある組織であれば、モバイルを狙う脅威を検知する機能である、モバイルEDRのようなツールを、既存の管理機能とは別に使用できるでしょう。しかしそのような場合も、既存の管理機能を通じてネットワーク上に見つけた攻撃と、新たなツールによって発見した攻撃との間にある因果関係を手作業で明らかにする必要があります。

インシデント関係のデータにアクセスできる環境であったとしても、個々のセキュリティツールが連携していなければ、それらのツールで取得したデータを手作業で相互に関連付けなければなりません。複数のデバイスを連携させて、ノートPC、ID、モバイルデバイスなどを集約した単一のエンティティを構成する必要もあります。

しかしこれでは問題を解決するまでの時間が長引き、アナリストがミスを犯す可能性も高くなってしまいます。

この事例で注目すべきポイント:個々のセキュリティツールが連携しない状態では、従来のエンドポイントや次世代のエンドポイントにおいて侵害が発生したときにその根本原因を突き止めるのに、アナリストは膨大な量の作業を行わねばなりません。

まとめ

今やグローバルレベルで見たインターネットトラフィックの半分以上が、スマートフォンやタブレット、POSなどのモバイルデバイスから生じています。しかも、IoTなどのモバイルデバイスがさらに増え続けているのです。そのため、モバイルのセキュリティを真剣に考えねばならなくなりました。

しかし、モバイルデバイスの調達や管理を担当する従業員のいる組織に目を向けてみると、最も基本的なモバイルエンドポイントのセキュリティでさえ、3分の1未満の組織にしか導入されていないという数字が明らかになっています。

「セキュリティオペレーションチームの視点から見ると、モバイルのセキュリティは優先順位の高い事柄として扱わねばならなくなりました。しかし、そのセキュリティの状況を把握し管理することが、従来のエンドポイントでもできません。このような状態のままでよいのでしょうか」

ホワイトペーパー「すべての組織が狙われている」

企業、組織がどんなにセキュリティを強固にしてもハッカーが悪用できる脆弱性は必ず存在します。侵入されることが避けられないことを受け入れ、新たな対策を立てる必要があります。本書で、なぜ避けられないのか、どのように対処するのかをご覧ください。
https://www.cybereason.co.jp/product-documents/input/?post_id=606

ホワイトペーパー「すべての組織が狙われている」