健康状態やお金の管理など、私たちが日々使用するスマホは、人間の一部になったといっても過言ではありません。一方で、スマホを標的とした脅威も増加しています。

スマホの登場以来、モバイルデバイスは日常生活に欠かせないものになりました。友人や同僚との連絡、スマート家電の操作、オンラインショッピング、オンラインバンキングの利用など、その用途は様々です。2019年に英国で行われた調査によると、約75％の人がオンラインバンキングにスマホを使用していたといいます。また、ジュニパーリサーチ社は、ミレニアル世代など若年層の消費者が従来の銀行取引から離れ、オンラインバンキングを利用していることから、米国内におけるオンラインバンキング利用が2024年までに54%成長すると予測しています。

このように、私たちは多くのことをスマホで行っています。同時に、スマホには多くの認証情報が保存されているため、サイバー犯罪の標的となるケースは年々増加しています。Sift社のデータによると、オンライン詐欺の50%以上がAndroidまたはiOSデバイスで発生していることが明らかになっています。

スマホへの脅威

Verizon 2020 Mobile Security Indexでは、モバイルの脅威をユーザー、アプリとソフトウェア、デバイス、ネットワークの4つのカテゴリーに分類しています。ここからは、そのカテゴリーに沿って、脅威についてご説明します。

ユーザーへの脅威

どんなデバイスにおいても、ユーザー自身の知識と警戒心、そしてユーザーが利用しているテクノロジーが、セキュリティの鍵を握ります。最も古典的なオンライン脅威といえるフィッシングは、技術的に高度ではないものの、未だ最も一般的で強力なサイバー攻撃です。アバスト 情報セキュリティアカデミーなどによる啓発もあり、今は多くのユーザーがフィッシングについて把握していますが、スマホユーザーは以前よりも頻繁に、より巧妙な手口でフィッシングの標的となっています。

従来のフィッシング・キャンペーンの多くが実際の企業・団体を装ったメッセージを送って機密情報を奪う手口だったのに対し、スマホに対する攻撃手段は多様です。メールによるフィッシングが依然として主流ですが、テキストメッセージ、電話、アプリやウェブページ上で「マルバタイジング」の一種である悪質な広告を用いた手口も散見されています。また、Lookout社のデータによると、1つのフィッシングリンクをクリックしたことがあるユーザーのほぼ半数が、6回以上フィッシングリンクの被害に遭っているといいます。様々な脅威がはびこる今の時代も、フィッシングは未だ有力なサイバー攻撃です。

フィッシング詐欺は、直接被害を受けていない人にも、影響を与えることがあります。フロリダ州のある町では、サイバー犯罪者が地方自治体の請負業者を装い、支払いの詳細を更新するよう自治体に依頼した結果、市の資金の約75万ドルが騙し取られました。さらに、最近ではプエルトリコ政府がフィッシングメールの餌食になり、260万ドルの税金を奪取された事件もありました。こうした大規模なフィッシングの多くが、スマホを用いています。攻撃者は移動中であることを装うためスマホからメールを送り、メールを受信した被害者に確認の連絡が取りにくい印象を与えているのです。

URLの難読化を用いた攻撃にも注意が必要です。この手法はフィッシングに用いられることもあれば、それ自体が脅威となることがあります。スマホではPCよりもURLが見にくく、スマホで用いるブラウザは、PCで用いるブラウザほどセキュリティ情報を明確にしていません。また、SMS（ショート・メッセージ・サービス）から送信されたURLは、さまざまな手法で簡単に難読化されてしまいます。URLの難読化には、アドレスのトップレベルドメインの置き換えや、「cl」を「d」にするなど似たような文字の入れ替えといった、シンプルなものもあります。

この攻撃のより高度な形態が、ホモグラフ攻撃です。ホモグラフ攻撃とは、ドメイン名に含まれる1つ以上の文字を外国語の類似した文字に置き換えることで、偽のサイトを作成し、そのサイトに誘導する手法を指します。例えば、ギリシャ語のタウ「τ」をアルファベットの「t」の代わりに使用して、microsofτ.comというドメイン名の偽サイトを登録・開発することができてしまいます。ユーザーは、このリンクが本物のmicrosoft.comへのリンクであると思い込んでしまうのです。

ウェブサイトだけではなく、アプリにもリスクが潜んでいます。多くのスマホユーザーが詳細を読まずに、アプリのアクセス許可に同意しています。しかし、誤って不正アプリのアクセス許可に同意すると、デバイスのカメラを通して監視されたり、ログイン情報や銀行口座の情報などを盗み取られたりするかもしれません。

悪意あるアクセス許可要求が、一見無害な許可要求に隠れているアプリもあります。このようなアプリは、ユーザーには正常なアクセス許可に同意したように見せながら、実際には不正なアプリがスマホのあらゆるファイルにアクセスし、機密データを盗み取っていきます。

アプリの脅威

2018年のある推計によると、全世界で23億台のAndroidが使用されており、他の推計では、マルウェアに感染したスマホは1億台にのぼると示唆されています。iPhoneの流通数はAndroidより少ないものの、Android・iPhoneどちらのユーザーもアプリを通じて継続的にサイバー攻撃を受けているため、注意が必要です。

攻撃の多くは、悪意のあるアプリを介して行われます。悪意のあるアプリは、公式のアプリストアではないソースからのインストール、いわゆるサイドローディングによってスマホに侵入することが多く、ユーザーがゲームアプリやアダルトコンテンツだと思ってインストールしたアプリに、実はマルウェアが仕込まれていたケースが多く見られています。

2019年、WhatsAppなどの正当なアプリに「Agent Smith（エージェント・スミス）」と呼ばれるマルウェアが含まれていたことが発覚しました。これも、サイドローディングの一例と考えられています。これらのアプリは、中国のアリババが所有するサードパーティアプリストアの「9apps.com」からダウンロードされていました。これまでに2,500万台のAndroidが「エージェント・スミス」に感染したと考えられており、インドでは1,500万台、米国では30万台以上、英国では13万7,000台が感染しています。

悪質なアプリは、公式のアプリストアでも発見されることがあります。2020年3月、Google Playストア上でマルウェアに感染したアプリ56個が発見されました。これらのアプリは合計で100万回以上ダウンロードされ、アプリのうち24個は子どもをターゲットにしていました。

最近は、悪意のあるアプリがさらに悪質化しています。モバイルランサムウェアの中には、ローカルのファイルをロックするだけでなく、Google Driveのようなクラウドストレージに保存したファイルまでロックするマルウェアもあります。また、ユーザーのファイルをロックした後、ファイルをオンラインで公開すると脅す、Doxware（ドックスウェア）も増えています。多くの人がスマホでパートナーとの親密な写真を撮影・共有しており、2014年の調査では、ミレニアル世代の女性の90％が携帯電話で親密な写真を撮影したことがあると回答しています。こうした写真の公開は、ネットいじめにつながるだけでなく、写真から居場所を特定できる可能性もあるため、写真の公開は個人の安全を脅かすリスクも孕んでいます。

恋人の居場所や友人を追跡するために使用される、ストーカーウェアも増加しています。「信頼できる」はずのパートナーが用いるこのマルウェアは、スマホに対する脅威の種類だけでなく、脅威を仕掛ける攻撃者も多様であることを示しています。

デバイスの脅威

SIMスワップ攻撃は、2016年以降、毎年被害が倍増している深刻な脅威です。犯罪者はユーザーになりすまし、「新しい電話を買ったので、私の電話番号を転送してください」と通信キャリアに連絡をして、ユーザーの電話番号を別のSIMカードに転送させます。通信キャリアがその連絡に騙されると、2要素認証（2FA）コードなど、SIMカードに転送するための手続きに必要なすべての情報が、犯罪者に送られてしまいます。残念ながらこの手口は非常に簡単で、TwitterのCEOであるジャック・ドーシー氏でさえも過去に被害に遭っています。

ほとんどのサイバー攻撃は、遠隔でスマホに脅威をもたらしますが、物理的な手法が用いられることもあります。ジュースジャッキング攻撃と呼ばれる、攻撃者が公共の場に設置されたコンセントをすり替えたり、それらに細工をしたりすることで、ユーザーのデバイスに侵入する方法もあります。攻撃者が仕掛けたコンセントを使ってスマホを充電してしまうと、知らない間にマルウェアがインストールされてしまいます。

スマホがサイバー犯罪者の手に渡れば、革新的な技術が使われるまでもなく、簡単に攻撃を許してしまいます。英国ロンドンでは、2017年から2018年にかけて25,000台以上のモバイルデバイスが公共交通機関で紛失しており、毎月平均23,000台のAndroidの紛失・または盗難が報告されています。Androidユーザーの4％が少なくとも一度はスマホを失くしていることも分かっており、サイバー犯罪者たちは、落とし物のスマホから個人情報を得ているかもしれません。

ネットワークの脅威

スマホは定義上、IoTデバイスでもあり、その他のIoTデバイスを制御する目的で使用されます。スマホを紛失すると、その他のIoTデバイスも危険にさらされるため、他のIoTデバイスと同様、充分に注意しましょう。

中間者攻撃（MitM攻撃）は公共のWi-Fiを介することが多く、正当なネットワークがハッキングされる場合と、悪意のある不正なホットスポットが個別に設置される場合、両方のケースがあります。あるデータによると、毎年7%のモバイルデバイスがMitM攻撃を受ける可能性があり、カフェ、ホテル、空港などの公共Wi-Fiには注意が必要です。

自分自身を守るために

スマホへの脅威の多くが、攻撃者がユーザーを誘導し、特定の行動をとらせるソーシャルエンジニアリングによって発生しています。テクノロジーは、スマホ上であなた自身が選択した行動を止めることはできません。そのため一番の対策は、脅威を認識することです。本記事ではいくつかの脅威について説明しましたが、すべての脅威が網羅されているわけではありません。脅威について把握し、意識と警戒心を高めることで、安全を確保しましょう。

しかし、ソーシャルエンジニアリング以外の脅威があることも事実です。2019年には、あるバグが原因で、WhatsAppユーザーのスマホがウイルスに感染しています。そのユーザーが電話をかけるだけで、電話越しの相手と話していないにも関わらず、スマホが感染してしまいました。このように、把握だけでは防ぎ切れない脅威には、セキュリティツールが役立ちます。アバスト モバイル セキュリティなど、アンチウイルスをインストールしましょう。

最後に、可能な限りデータを暗号化するよう心掛けてください。

この記事は2020年6月11日に公開されたHow smartphones have become one of the largest attack surfacesの抄訳です。