モバイルデバイスは、これまで以上にウイルスやマルウェアに狙われています。

ウイルス、マルウェア、フィッシング詐欺…今ではすっかりおなじみの用語です。これらの脅威はパソコンだけのリスクだと思っている人が多いかもしれませんが、今ではモバイルデバイスが狙われる傾向にあります。モバイルデバイスに依存し、機密情報をデバイスに保存している小規模企業も増えていますが、そうした企業はサイバー攻撃によって深刻な影響を受ける可能性があります。

モバイルデバイスが脆弱である主な理由として、多くのユーザーが潜在的な危険性に気づいていないことが挙げられます。シマンテックが最近行った調査によると、中小規模企業の経営者のうち、業務で利用しているスマートフォンやタブレットがセキュリティ上のリスクにさらされていると回答したのは 46% に過ぎず、さらに小規模企業に限定するとわずか 29% だけでした。

モバイルデバイスに潜むリスクを知ることが、脅威に対抗するための第一歩です。以下に挙げる 4 つの脅威について、よく理解しておきましょう。

悪意のあるアプリ
マルウェアに感染しているモバイルアプリの多くは、ゲームやインスタントメッセージ、さらにはウイルス対策ソフトウェアなどの正規のアプリに見せかけています。そのようなアプリをモバイルデバイスにインストールすると、設定を勝手に変更したり、ランサムウェアをインストールしたり、登録されている連絡先に電子メールを送ったりするほか、これら以外にもさまざまな損害を与える可能性があります。悪意のあるアプリは、Google Play や Apple App Store といった公式マーケットプレイス以外のサードパーティのアプリストアで見つかることがほとんどです。

グレイウェア
グレイウェアは、マルウェアほど攻撃的ではありませんが、マルウェアよりも数多く存在しています。グレイウェアは、明らかにマルウェアと言えるものを隠し持ってはいませんが、ユーザーにとって有害または迷惑なアプリのことです。このようなアプリはユーザーの位置情報を追跡したり、ウェブ閲覧時の行動を監視したり、ユーザーが気づかないうちにインターネットにアクセスして高額な料金を請求したりする可能性があります。グレイウェアの一般的な形態のひとつとして、モバイルアドウェア (別名「マッドウェア」) と呼ばれるものがあります。マッドウェアのなかには、スマートフォンの通知バーに広告を表示したり、着信音を音声広告に替えたり、さらに悪質な場合には電話番号やユーザーアカウント情報などの個人情報を漏えいしたりするアプリもあります。ノートンの調査によると、Android アプリの 55% にマッドウェアやその他のグレイウェアが含まれていることが分かりました。
 

スミッシング (Smishing)
今では多くのユーザーが、正規の企業を騙って金融口座に関する情報やその他の個人情報などを引き出そうとするフィッシングメールの見分け方を知っています。そのため、ネット犯罪者は、SMS テキストメッセージを使ってユーザーを狙う SMS フィッシング詐欺 (別名「スミッシング」) を行うようになりました。この手法は、地方銀行や信用組合になりすまして近くのスマートフォンユーザーにメッセージを送るなど、地域を絞って標的を狙えるため、ネット犯罪者にとって非常に便利です。また、スミッシングによって企業もリスクにさらされます。ユーザーをだまして感染ファイルをダウンロードさせることもできるため、機密データが漏えいする恐れもあるのです。

偽の公衆 Wi-Fi ネットワーク

ノートパソコンを使用しているときに公衆 Wi-Fi ネットワークにアクセスすることは避けてください。これは、スマートフォンやタブレットでも同様です。ハッカーはこのようなネットワークを悪用して、電子メールのメッセージやパスワード、安全対策が施されていないサイトへのログイン情報などを盗み見ることができます。さらには、偽のホットスポットを設定して無線トラフィックフローを読み取ろうとするハッカーもいます。多くの場合、こうした偽のホットスポットには、「airport」や「free Wi-Fi」といった一般的な名前が付いています。
 

会社を守るためにできること

従業員に対しては、アプリは公式アプリストアからダウンロードする、前もってアプリについて調査するなど、基本的なセキュリティ対策 (ベストプラクティス) に従うよう奨励してください。その場合も、事前にアプリを検索してレビューを読んでおくとよいでしょう。偽のセキュリティアプリは、正規のアプリストアにも紛れ込んでおり、シマンテックの調査によると、Google Play で扱われているアプリの約 4 分の 1 にモバイルアドウェアが含まれていることがわかっています。また、従業員には、機密情報を電子メールや SMS テキストメッセージで送らないよう教育してください。従業員が銀行やその他の企業や組織を装うメッセージを受信した場合は、そのメッセージが本物かどうかを調べるために、送信元に直接確認するようにします。

会社にモバイルデバイスの利用規定がない場合には、策定を検討しましょう。利用規定には、アプリのダウンロード、社内リソースへのリモート接続、パスワードの設定など、モバイルデバイスの安全対策に関するガイドラインを盛り込んでください。マルウェアやグレイウェアが含まれていないかどうかアプリをスキャンして確かめたり、詐欺サイトをブロックしたりすることができるノートン セキュリティやノートン モバイルセキュリティなど、モバイルデバイスを保護するセキュリティ製品を導入しましょう。このような製品を使うことで、仕事の生産性を向上しながら、リスクを最小限に抑えることができます。