企業活動に欠かせないモバイル端末、そこに迫る脅威の動向と対策製品導入だけでは足りない

スマートフォンなどのモバイル端末への攻撃は、ますます手口が巧妙化しているという。今やモバイル端末は業務にも欠かせない存在となっており、対策が必要だ。モバイル端末への攻撃動向とセキュリティ対策をテーマに開催されたパネルディスカッションの内容をお届けする。

» 2021年09月01日 10時00分 公開
[PR/@IT]
PR

モバイル端末を取り巻く状況と多様化するセキュリティリスク

 スマートフォンなどのモバイル端末への攻撃は、ますます手口が巧妙化しているという。今やモバイル端末は業務にも欠かせない存在となっている。どう対策すればよいのだろうか。

 モバイル端末への攻撃動向とセキュリティ対策をテーマに開催されたパネルディスカッション「今、狙われるモバイル 〜最新の脅威動向からその対策まで〜」の内容を紹介する。ファシリテーターを務めたのは、ソフトバンクの佐藤良彦氏(法人プロダクト&事業戦略本部 セキュリティ事業統括部 セキュリティサービス第2部 サービス推進課)だ。

パネルディスカッションの様子(上段左:ソフトバンクの中村拓氏、上段右:ソフトバンクの佐藤良彦氏、下段中央:Zimperiumの奥山剛央氏)

 モバイルセキュリティのソリューションを提供するZimperiumの調査によると、企業が利用するエンドポイントのうち、約60%はiOSやAndroidが搭載されたモバイル端末だ。各モバイル端末には約80個のアプリケーションがインストールされており、1日に5〜10個のアプリケーションが利用されている。

Zimperiumの奥山剛央氏

 昨今は、SMSで二要素認証のコードを受け取る、認証アプリケーションを使いクラウドサービスにアクセスするなど「モバイル端末のデジタルID化も進んでいます」と言うのは、Zimperiumの奥山剛央氏(Business Development Manager)だ。モバイル端末は電話などのコミュニケーションだけでなく、業務のさまざまな用途で使われるツールとなっているのだ。

 利用が拡大するモバイル端末では、セキュリティに関わる脅威も増えている。外部からの悪意ある攻撃はデバイス、アプリケーション、ネットワーク、フィッシングという4つのカテゴリーに分けられる。例えば、企業が利用するデバイスの65%ほどで脆弱(ぜいじゃく)性が放置されているという調査結果がある。外部からの攻撃に対し、安全ではないまま利用されているのが現状だ。

 さらに1カ月当たり50万種類弱の新規マルウェアがAndroidを対象に検出されており、ネットワークでも年間5台に1台が何らかの攻撃を受けている。特にネットワーク攻撃は巧妙さを増している。その代表が中間者攻撃だ。例えば街中やホテルのロビーなどの無料Wi-Fiに接続した際に攻撃を受ける可能性があり、手口はさまざまに分かれる。

ネットワーク攻撃の代表例、中間者攻撃(提供:Zimperium)

 「例えばWi-Fiに接続してWebページの閲覧を試みたとしましょう。ユーザーにはWebページのコンテンツをそのまま見せますが、攻撃者が間に入り込み、SSLの暗号を外して通信の中身を平文にしてしまいます。このように通信トラフィックの間に入ることで、ユーザーIDやパスワードを詐取するのが代表的な手口です」(奥山氏)

 セキュリティ侵害の約90%はフィッシングから始まっており、その中でもモバイル端末で被害に遭うケースが増えている。その要因として、メールの約60%がモバイル端末で閲覧されていること、モバイル端末のSMSを使うと、PCメールと比較してURLをタップしやすい傾向にあることが挙げられる。

 例えば金融機関を装ったSMSが届き、URLをクリックしてしまうと金融機関の偽のログイン画面が現れる。ここで気付かずにユーザーIDとパスワードを入力してしまうと「会員情報が失効した」という内容のメッセージが現れて、個人情報を入力するよう促される。この時点で既にIDとパスワードは盗られており、さらに情報を入力させてクレジットカード番号なども奪うのだ。

 iPhoneでも、SMSで「Apple ID」をリセットする偽サイトに誘導するフィッシングがある。誘導先で情報を入力するとIDやパスワードは盗まれる。さらに「偽サイトの作りが良ければ、二要素認証のデジットも詐取されてしまいます」と奥山氏。必要な情報がそろえば、iPhoneのコピーを作られてしまうこともあると警告する。

 Androidでは、さらに深刻な被害を受けるフィッシングもある。詐欺サイトのURLをクリックすると、セキュリティ侵害があったという警告画面に続いて、セキュリティチェックを実行する偽の画面、さらに侵害が見つかったという虚偽の表示が現れる。ここで先に進むと、侵害に対処するためにセキュリティチェック用のアプリケーションをインストールするように促される。

 このアプリケーションをダウンロードすると、登録されている電話帳データを抜き取って、不正なショートメッセージをばらまく攻撃端末に変えてしまうのだ。


今求められるモバイル端末のセキュリティ対策とは

 さまざまなリスクがあるモバイル端末、そのセキュリティ対策としてよく耳にするのがMDM(Mobile Device Management:モバイルデバイス管理)だ。

 とはいえ、MDMで対策できる範囲は限定的だと、奥山氏は指摘する。MDMではアプリケーションの制御や配信、デバイスの展開、リモートからのロックやワイプ、端末のルート化の検知などが可能だ。一方で前述したようなネットワーク攻撃やフィッシングなど、外部からの脅威への対処は含まれない。そのためMDMに加え「ZimperiumのようなMTD(Mobile Threat Defense:モバイル脅威防御)のツールが必要になります」と言う。

 Zimperiumは前述した外部からのデバイス、ネットワーク、アプリケーションに対する脅威や、フィッシングに対して有効だ。Zimperiumの特長はオンデバイス検知にある。デバイスそのものが防衛機能を持ち、自ら判断して脅威を検知できる。それを可能にしているのが、モバイルOSに特化し、機械学習技術を活用して脅威を検知する「z9エンジン」だ。これを使い、デバイスでのアクティビティーをモニターして既知、未知にかかわらず脅威をリアルタイムかつオンデバイスで検知して、端末を保護する。

 ZimperiumはMDMとも緊密に連携する。例えばデバイス上でZimperiumが何らかの脅威を検知したとする。そのことはすぐにクラウド上のサーバに送られ、脅威に対応するコマンドをZimperiumがMDMに送信する。コマンドを受け取ったMDMは対象端末を制御して、必要なアクションを起こし、被害の発生を防ぐ。これら一連の動作は自動実行できる。

MDMと連携するZimperium(提供:Zimperium)

 Zimperiumを導入すれば、このように攻撃への対策ができる。しかし導入するだけで、モバイル端末の安全性を完全に保つことができるわけではない。

 MTDの活用にはユーザーに負担のない導入計画が求められ、導入後も継続的にモニタリングして安全性を保つ運用が必要だ。さらに実際にインシデントが発生した際には、アラートの内容を解析してどのような対処が必要なのかを考え、迅速に行動を起こさなければならない。また、検出したインシデントや端末の利用状況などを解析し、今後のセキュリティポリシーの見直しなどにつなげなければならない。「これらを継続的に実施することで、最適化されたモバイルセキュリティ対策を企業に落とし込むことができます」(奥山氏)

 事前のリスク評価やユーザー向けトレーニング、運用後の分析やフィードバックなど管理者に求められるものは多い。その負担をいかに減らせるのか。Zimperium自体は、利便性が高く容易に扱えるツールだが、これを活用し、安全性を担保するにはセキュリティの専門知識やセキュリティ運用のノウハウなどを持つ人材が必要であり、その確保は組織の新たな課題となっている。

Zimperiumを最大限に活用できるMSSも併せて提供

 「MTDやEDR(Endpoint Detection and Response:エンドポイントでの検知と対応)を導入すれば、疑わしい挙動を検知して、ブロックできるでしょう。一方で管理者は、それらのアラートからどういった脅威なのかを判断し、対応の優先度を考え、早急にアクションを起こさなければなりません」と言うのは、ソフトバンクの中村拓氏(ICTオペレーション本部 オペレーションサービス第4統括部 セキュリティサービスオペレーション部 第1課 課長)だ。

 インシデント発生時には、インシデントの詳細確認やユーザーへの連絡、関係各所へのエスカレーションなど、管理者がセキュリティ対策の運用で対応しなければならないことは多岐にわたる。セキュリティ対応は時間との勝負だ。時間がかかれば攻撃者の目的が達成されてしまう可能性が高まる。そのため、初期の封じ込め行動をできるだけ迅速に行う必要があると、中村氏は指摘する。

ソフトバンクの中村拓氏

 正規ユーザーIDを使ったなりすましや、EPP(Endpoint Protection Platform:エンドポイント保護プラットフォーム)では検知できないファイルレスマルウェアなど、攻撃の手口は高度化している。対処するために組織は多種多様なセキュリティ製品を導入しており、「各製品のアップデートに追従するのも大変」(中村氏)だという。検知されたアラートに対して調査を迅速に行い、監視も24時間態勢で実施するのは、もはやユーザー企業内の対応だけでは非現実的だろう。

 これらの運用管理の課題を解決するのが、マネージドセキュリティサービス(MSS)だ。ソフトバンクが提供するMSSでは、セキュリティアナリストを中心とした専門家が、リスクのポイントを網羅的に監視して、予兆や攻撃を検知する。さらに対応の自動化で、初動の迅速化も実現している。

 モバイル端末向けのMSSでは、Zimperiumのコンソールからソフトバンクのアラート連携基盤に情報が集められる。分析の結果、優先度の高い検知事象や推奨対応の案内をユーザーに通知する。これらは自動化により迅速化されている。また、顧客の管理者との窓口は、MSSの「アドバンスドサービスデスク」に一元化され、ここではZimperiumの操作方法からアラート、インシデントの問い合わせ対応、アラートの解析や推奨の対処方法の提案などを一括して行う。

 MSSがなければ、顧客はZimperiumから発せられる多くのアラートを自分で解析して対応しなければならない。これには経験やノウハウがなければ時間がかかり、対処が遅れれば被害は拡大しかねない。MSSではソフトバンクがアラートを解析し、対処すべきもののみを顧客に通知して、推奨する対処も提案する。そのため早急な対応が可能となり、被害の拡大を防ぐことが可能だ。

Zimperium MSS導入のポイント(提供:ソフトバンク)

 例えば、Wi-Fiの中間者攻撃が起きた際には、いつ誰に何が起き、どう対処すればよいのか、情報を迅速に提供する。これを基に、まずは該当する端末をWi-Fiから切り離し、利用していたオンラインサービスなどを特定して奪取されたと予測されるパスワードの変更などを促すことができる。

 その他にもソフトバンクのMSSでは、モバイル端末のセキュリティ対策だけでなく、ネットワークやモバイル、クラウド、認証基盤、デバイス管理などさまざまなセキュリティ対策をトータルに支援して、組織のゼロトラストセキュリティの実現を支える。そのためにMSSのアドバンスドサービスデスクに加え、個々の製品の専門知識を持つ製品技術チーム、システム環境全体に知見を持つシステム開発チームが三位一体で対応する体制を築いている。

 「ソフトバンクのキャリアとしての経験やノウハウも生かし、顧客のゼロトラストセキュリティの実現をサポートします」(中村氏)


Copyright © ITmedia, Inc. All Rights Reserved.


提供:ソフトバンク株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2021年9月30日

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。