「SMSは認証に使わないで」 米CISA、モバイル通信を保護する8つのベストプラクティスを公開：中国系ハッカー集団によるサイバー攻撃を受け

米CISAは「Mobile Communications Best Practice Guidance」を公開した。米国の商用通信インフラに対する中国政府系ハッカー集団のサイバースパイ活動が確認されたことに対応して作成されたものだ。

[＠IT]

　米国国土安全保障省サイバーセキュリティインフラストラクチャセキュリティ庁（CISA）は2024年12月18日（米国時間）、「Mobile Communications Best Practice Guidance」（モバイル通信のベストプラクティスガイダンス）を公開した。米国の商用通信インフラに対する中国政府系ハッカー集団のサイバースパイ活動が確認されたことを踏まえ作成されたものだ。

　CISAはこのサイバースパイ活動について、2024年11月に米国連邦捜査局（FBI）と共同で声明を発表している。この活動では顧客の通話記録が盗まれ、標的として狙われた限られた人数のプライベート通信が侵害された。

　CISAは「このガイダンスは全てのモバイル通信ユーザーに役立つが、特に、中国政府系ハッカー集団にとって関心のある情報を保有している可能性が高く、標的として狙われている、政府高官や要職にある政治家を対象としている。単一の解決策で全てのリスクを排除することはできないが、このガイダンスに示されたベストプラクティスを実行することで、悪意あるハッカー集団に対する機密通信の保護が大幅に強化される」と述べている。

　ガイダンスでは、以下の8つのベストプラクティスを挙げて説明している他、iOSとAndroidそれぞれのユーザー向けに、設定などに関する推奨事項を紹介している。

モバイル通信を保護する8つのベストプラクティス

1. エンドツーエンドの暗号化通信のみを使用する

　CISAは、「Signal」や同様のアプリなど、E2E（エンドツーエンド）の暗号化を保証する安全な通信用の無料メッセージングアプリケーションを採用することを推奨している。こうしたアプリは通常、1対1のテキストチャット、最大1000人の参加者によるグループチャット、暗号化された音声通話やビデオ通話をサポートしている。プライバシーを強化できるメッセージや画像の消失機能も備えていることがある。

2. フィッシングに強いFIDO（Fast IDentity Online）認証を有効にする

　FIDO認証は、MFA（多要素認証）を回避するハッキング手口に対して効果的だ。使用可能な場合は、「Yubico」や「Google Titan」などハードウェアベースのFIDOセキュリティキーが最も効果的だが、FIDOパスキーも許容可能な選択肢だ。

3. SMSベースのMFAから移行する

　SMSを認証の第2要素として使用しないようにする。SMSは暗号化されていないため、通信事業者のネットワークにアクセスできる脅威アクターがメッセージを傍受して読めるからだ。

4. パスワードマネジャーを使用して、全てのパスワードを保存する

　一部のパスワードマネジャー（「Apple Passwords」「LastPass」「1Password」「Google Password Manager」「Dashlane」「Keeper」「Proton Pass」など）は、弱いパスワード、再利用されたパスワード、流出したパスワードについて自動的にアラートを出す。これらの中には、認証コードを生成するものもある。

5. 通信事業者PINを設定する

　ほとんどの通信事業者は、携帯電話アカウントに追加のPINまたはパスコードを設定する機能を提供している。このPINは、アカウントへのログインや電話番号の移行など、機密性の高い操作を完了する際に必要となる。

6. ソフトウェアを定期的に更新する

　モバイルデバイスの自動更新を有効にし、OSとアプリケーションにパッチをタイムリーに適用する。

7. 携帯電話メーカーの最新バージョンのハードウェアを選ぶ

　新しいハードウェアには、古いハードウェアではサポートできない重要なセキュリティ機能が組み込まれていることが多い。ソフトウェアを更新するだけでは、利用可能なセキュリティ上のメリットを最大限に享受することはできない。

8. 個人用VPNを使わない

　個人向けVPNは、インターネットサービスプロバイダー（ISP）からVPNプロバイダーへと残余リスクを移すだけであり、多くの場合、攻撃対象領域を拡大してしまう。