【事例から学ぶ「有効な不正対策」】　企業スマートフォンの危険性

企業スマートフォンの危険性
Corporate Smartphones in Danger!
脆弱性の理解と安全の確保
Understand the Weaknesses and Keep Devices Safe

リチャード・Ｇ・ブロディ（Ph．D、CFE）
ダレル・バンワード
ケリー・ホーソン
Richard G. Brody, Ph.D., CFE;Darrell Banward;Kelley Hawthorne

　バラク・オバマが大統領に就任した際、彼は自分のブラックベリーを使い続けたいと明言した。しかし、シークレット・サービスは彼のスマートフォン（以下「スマホ」）のセキュリティを不安視した。そこで、国家安全保障局（ＮＳＡ）とホワイトハウスのコミュニケーション局そして民間企業が協力し、「ハッカーからの攻撃に耐え、スパイによる盗聴を阻止できる」ソフトウェアを開発した。（PCWorld誌　http://tinyurl.com/3ckeg5t）

　大統領は侵入の不安なくスマホを使えるかもしれないが、わたしたちは常に重大なセキュリティ・リスクに直面している。

　ハイテクのコミュニケーション形態としてスマホが好まれるようになり、単純な携帯電話や携帯情報端末（ＰＤＡ）は時代遅れになりつつある。PCMagの定義によれば、スマホとは「内蔵された様々なアプリケーション（以下「アプリ」）とインターネット・アクセス機能を備え、ｅメール、ウェブブラウザ、カメラ、ビデオ撮影ＭＰ３プレーヤー、ビデオ視聴、テレビ電話などが利用できる携帯電話」である（http://tinyurl.com/y23z36u）。２０１１年７月にcomScoreが公表した、米国における携帯電話契約者マーケットシェア報告書によると、２０１１年５月から７月におけるスマホ保有者数は８，２２０万人で、その前の３ヶ月間に比べて１０％増加した（http://tinyurl.com/3hywemz）。

　スマホは電話としてだけではなく、アプリのダウンロードやウェブサイトの閲覧に多用される。マーケティング関連のウェブサイトClickZによると、「台数ベースではスマホは携帯電話市場の２５％に満たないが、スマホユーザはアプリ市場の６割、モバイルブラウザ利用の５５％を占める。」（Phil Hornshawの記事”Study confirms continued rise in smartphone app consumption”，http://tinyurl.com/3sge5r6　参照）パソコンを悩ませ続けている脆弱性が、今やスマホにとっても脅威となっている。会社が社員に支給する業務用スマホが悪意者に乗っ取られたらどうなるか。犯人に機密情報を盗み出されて、会社の業務に支障が生じるかもしれない。

　スマホ市場におけるこのような脆弱性の問題は、今後も深刻さを増すであろう。「携帯電話に関しては、これまでのところ約４００に及ぶ脅威の存在が確認されています。パソコンに対する脅威が４００万種類に及ぶことに比べれば取るに足らない数に思えるかもしれませんが、スマホユーザは正に危険にさらされているのです。」２０１０年６月２０日付Hindustan Timesの記事”Mobile phones new turf for hackers：Symantec”において、シマンテックのインドにおけるマネージング・ディレクターを務めるVishal Dhuparはそう警鐘を鳴らした（http://tinyurl.com/3tlouuq）。

　本稿は、組織が業務上使用するスマホに対する典型的な脅威と、それらから組織を守る方法について取り上げる。

スマホの脆弱性　（SMARTPHONE VULNERABILITIES）

　スマホ、実際にはすべての携帯電話は、情報セキュリティ面で非常に脆弱である。悪意あるハッカーに必要なのは、電話番号のみだ。Worldの２００９年４月３０日付の記事”Simple Steps to Hack a Smartphone”において、Jane Goodchildは「制御メッセージ攻撃（Control Message Attack、以下「CMA」）」について書いている。CMAでは、ハッカーは利用者の知らないあいだに、機器の制御設定を変更することができる。また、Elinor Millsは、cnetのウェブサイトにおいて、「携帯端末のセキュリティ会社トラスト・デジタル社によると、ツールとスキルを備えた攻撃者がCMAを用いれば、SMSメッセージ（テキストメッセージ）を送るだけで、あなたの携帯電話を遠隔操作で乗っ取ることができる」と報じている。

　一方で、Millsは、CMAは「深夜の襲撃（Midnight Raid Attack、以下「MRA」）」などの他の手法と併用された場合に最も効果を発揮するとも書いている。MRAは、携帯電話利用者が寝ている間に被害に遭いやすいことからそう名付けられた。

　トラスト・デジタル社のマーケティング担当ヴァイス・プレジデントであるDan Dearingは次のように述べている。「攻撃者は、ウェブブラウザを自動的に起動させ、悪意あるウェブサイトに誘導するようなSMSメッセージ（テキストメッセージ）を携帯端末に送りつけます。そして、そのウェブサイトから、端末に保存されたデータを盗み出すためのEXEファイルをダウンロードするのです。」

　CMAおよびMRAによりスマホのブラウザのSSLを無効化してから、ハッカーはビジネス用のクレジットカードや銀行取引に関する情報、ビジネス用のセンシティブ情報を含むｅメール、さらには、連絡先、パスワード、セキュアなウェブサイトにアクセスする際の質問に対する答えなどの端末利用者の個人認証情報（personally identifiable information、以下「PII」）を盗むことができる。

　トラスト・デジタル社の製品アーキテクチャ担当ディレクターであるMeir Machlinは、CSOonline.comに２００９年４月２９日付で掲載されたJoan Goodchildの記事”3 Simple Steps to Hack a Smartphone”に付属するビデオにおいて、スマホの乗っ取りがいかに簡単であるかを実演している。Machlinが用いた「ハッカーのツール」はWiFi接続のできるノートPCと２台の携帯電話機であった。２台の電話のうち１台は、ノートPCを携帯端末ネットワークにつなぐGSM（Global System for Mobile Communications, 訳注：デジタル携帯電話の無線通信方式）モデムの役割を果たし、もう１台はMachlin自身の端末として用いられる。彼は自分の端末を使って、狙った携帯電話のウェブブラウザを開き、CMAさらにはMRAによりメッセージを送りつけて、ISNI（携帯端末毎に付されたＩＤ番号）を盗んだうえに、中のデータを消し去った。電話に保存された個人および企業の連絡先リストさえ容易に盗めたであろう（http://tinyurl.com/42r4wdh）。

　スマホの情報は、スパムメールやスパイウェアなどのマルウェア（悪意あるソフトウェア）による攻撃にもさらされやすい。スマホユーザがスパムメールに示された悪意あるリンクをクリックすると、仕組まれたコードに端末のセキュリティを侵害されてしまう。ノートＰＣやデスクトップと異なり、スマホにはウィルス対策プログラムが内蔵されていないからだ。PCWorldに２００８年１０月６日付で掲載された記事”Put an End to Cell Phone Spam”において、Zack Sternは次のように推奨している。「･･･スパムメールを受信したら、（「購読中止」リンクも含め）一切のリンクをクリックしてはいけません。画像のアップロードも厳禁です。クリックやアップロードをすると、あなたのアドレスが使用されていることが相手に分かってしまい、間違いなく、さらに多数のジャンク・メッセージを受け取ることになります。（http://tinyurl.com/496o4a）」

　スパイウェアは恐らく最も簡単に入手できるマルウェアであろう。スパイウェアは子供のウェブサイト利用状況をモニタリングしたり、配偶者の浮気を発見したりする目的で合法的に販売されており、コストも５０ドル～２００ドルと安価だからである。スパイウェアを取り上げた記事”Flexispy － How To Spy On a Cell Phone & Which Spy Phone is #1? Flexispy Spy Phone, Mobile Spy, or e-Stealth?　（http://tinyurl.com/ykrgzjb）（Flexispy＜訳注：スパイウェアの商品名＞）”は、「スパイウェアをインストールすれば、携帯電話の使用状況をすべて密かに記録し、その電話の動作を完全に可視化できるのです」と指摘している。したがって、スパイウェアを完全に使いこなす犯人は、クレジットカード番号、ｅメールのパスワード、ネットバンキングのパスワードなど、ほとんどすべてのPIIや業務データを盗み見ることができる。

　ゲームなどの「無料」アプリにもマルウェアが含まれている可能性がある。２０１０年６月４日付のロイターの記事”Hackers plant viruses in Windows smartphone games（”においてJim Finkle記者は次のように解説している。「ゲームアプリの中には、ソマリアやイタリアなどの高額料金を請求する電話サービスに自動的に接続する悪意あるソフトウェアと抱き合わせになっているものもある。その金額は、１ヶ月に何百ドルにも上ることがある。」

常に予防が鍵を握る　（PREVENTION IS ALWAYS THE KEY）

　PIIを狙う犯人に打ち勝つには、事後対応ではなく未然防止の取組みが不可欠である。まずは、次のような常識的な対応を徹底するところから始める。スマホ内には不要な情報を置かない。パスワードや個人認証番号（PIN）などのセンシティブな情報は可能な限り蓄積しない。盗まれやすい所に端末を置きっぱなしにしない。見知らぬ他人に貸さない。もし紛失したり盗難に遭ったりしたら、すぐにプロバイダに届け出る。そうすれば、盗まれた携帯から発信があった場合に、プロバイダが発信先の番号などから端末の所在を突き止めることができる。もし、盗まれた端末にPIIが保存されていれば、該当のクレジットカード会社や銀行にすぐに通知する。

　データの保護や最新のセキュリティソフトのダウンロードを行うために、スマホをパソコン等の他の機器でバックアップする、あるいは「同期させる」こともできる。残念ながら、スマホを同期させることは、それ自体がセキュリティに対する脅威となり得る。なぜならば、同期するパソコン等の情報も危険にさらされるからである。同期機能を活用する際は、デフォルトのオプションを用いて不要なPIIをアップロードしてしまわないよう、セッティングをカスタマイズする注意が必要である。

　すべての端末をパスワードでロックする。自動消去機能を用いれば、ログイン用パスワードを一定回数間違えて入力すると端末内の全データが削除される。また、パソコンのスクリーンセーバー機能のような自動ロック機能により、一定時間経過後やボタンをクリックすることにより他人が端末にアクセスできなくすることもできる。自動ロックはパスワードを入力するまで解除されない。

　ブルートゥースを内蔵したスマホは、認証なしで他の端末と相互接続できるため、セキュリティ低下を招き得る。接続後は、電話帳などのサービスに、認証なしで相互アクセスできる状態になってしまう。一方、シマンテックの” Bluetooth Security Review, Part 1”において、Marek Bialoglowyは、端末の開発業者が認証プロセスを適切に組み込まないことが原因で、セキュリティが侵害されることもあり得ると指摘する。このような脆弱性を回避する最も簡単な方法は、端末を使用しない時は常にブルートゥース機能をオフにし、発見されないようにしておくことである。そして、悪意者に狙われやすい公共のワイヤレス利用エリアでは、ブルートゥース機能を使用すべきではない。

　アプリに仕組まれたマルウェアの被害に遭わないようにするためには、信頼できるプロバイダやサイトからのみアプリをダウンロードすることが必要だ。データの専門家であるKen Colburnは、East Valley Tribune紙の記事において、アップル社はアプリ開発業者および彼らが開発するアプリを厳選し、アプリに関するセキュリティ面の脆弱性を定期的に確認している、と書いている。iPhone、アンドロイド双方において、そのような多くの脆弱性を突いた攻撃が発生している。SMSやMMSなどのテキストメッセージまたはｅメールで送りつけられるマルウェアを避けるために、発信元不明のメッセージは一切開封してはならない。

　新手のフィッシングである「スミッシング（smishing）」は、SMS（テキスト）メッセージを通じて、銀行口座に関する緊急の問題を解決するために、フリーダイヤルに連絡する必要があると誘導する手口である。メッセージの受信者がフリーダイヤルに仕組まれた偽の留守番電話システムに口座情報を伝えると被害に遭ってしまう。２０１１年１月１７日付でmsnbc.comに掲載されたMatt Lebowitzの記事”Smishing: scary new malware scam”によれば、情報セキュリティの専門家は、スミッシングの手口が今後増加すると予想している。

　信頼できる発信先からのメッセージやアプリも感染の恐れがないとはいえない。そこで、ウィルスやスパイウェア対策ソフト、ファイアウォールへの投資は価値がある。シマンテックやマカフィーなどが販売しているこの手のソフトウェアは、すべての侵入からの完全な防御を保証するものではないが、既知のウィルスからスマホを守り、マルウェアに感染してしまった場合でも、システムが完全にダウンする前に素早く除去してくれる。

　携帯端末が盗まれた場合に遠隔操作でデータを消去したり、GPSにより所在を特定したりできるソフトウェアも販売されている。これらのソフトを利用するためには、端末に常時リフレッシュ機能、すなわちユーザが手動で操作しなくても端末が「遠隔で応答」できる機能が備わっている必要がある。

　暗号化ソフトは、特別なアルゴリズムやパスワードを知っている者だけが解読できるようにコード化することにより、情報を保護する。また、ｅメールを暗号化して、パスワード等の認証方法を知っている者にメールへのアクセス権を与えることも可能である。

　専門家の中には、ブラックベリーがスマホの中で最もセキュリティ性能に優れているという意見もあれば、iPhoneやアンドロイドも同等レベルのセキュリティを備えていると考える者もいる。ブラックベリーよりも他のスマホが優れているとの主張はない。２０１０年１０月１４日付CNETの記事”iPhone, Android give Rim insecurity complex（訳注：iPhone、アンドロイドが個人マーケットで人気を高める中、セキュリティ面で企業から圧倒的な信頼を得てきたRIM社のブラックベリーの牙城を脅かしているという内容の記事）”において、Marguerite Reardon記者は、どのスマホが優れているかは、利用者のニーズや情報セキュリティへの要求レベル次第であるとしている。

　East Valley Tribune紙の記事（前掲）において Colburnは「スマホ人気が高まるにつれ、マルウェアによるスマホへの不正アクセスが確実に増える」と述べている。

対策の実装　（IMPLEMENTATION）

　スマホのセキュリティ対策は、複数の企業、政府機関等で進められている。ロスアラモス国立研究所（以下「LANL」）は最近、セキュリティ性能に優れたブラックベリーを職員に支給するととともに、データセキュリティを保持するためのバックエンドのコンフィギュレーション（構成）としてブラックベリー・エンタープライズ・サーバ（以下「BES」）を導入した。BESは、ファイアウォールの背後で、国防総省のワイヤレス通信に関するセキュリティ技術実装ポリシーに基づく設定を構成する。このポリシーは、デバイスのセキュリティを強化しLANL環境で使用される各ブラックベリー端末にこれらの設定を配付する（http://tinyurl.com/42ryye2）。

　”Enterprise Mobility: Finding the Right Balance; Mobile Computing at Los Alamos” によると、「強化された」ブラックベリーにはカメラ機能はなく、アプリのダウンロード、メディアマネージャやブルートゥースの利用、ブラックベリー・デスクトップ・マネージャの一部オプションの操作ができないようになっている（http://tinyurl.com/3revmxq）。

　ロスアラモスのブラックベリーは、エスマイム（訳注：Secure/Multipurpose Internet Mail Extentionの略称。電子メールの暗号化および電子署名に関する代表的な国際規格）を使用している。オンライン百科事典のPCMagazine（http://tinyurl.com/4xtn89a）によると、エスマイムは「マイム（訳注：インターネット電子メールの通信プロトコル）にRSA暗号を付加したもの」で、インターネット接続における電子メールの暗号化、復号化、電子署名を可能にする。

　前述の記事”Enterprise Mobility”によれば、LANLのブラックベリー端末が盗まれたりセキュリティ侵害を受けたりした場合には、ユーザは２４時間／３６５日受付の窓口に連絡し、ワイヤレス・ネットワークを通じて端末の情報を直ちに「ワイプ」して、LANL環境で利用できなくすることができる。このプロジェクトを契機として、米国エネルギー省が地域限定でLANL支給のブラックベリーの利用を承認した。BESの管理下にある端末内の情報はすべて、Erase Data and Disable HandheldというＩＴ管理コマンドによるリモートワイプが可能である。

　LANLのような政府機関と同等の管理ができるリソースを持つ民間企業はわずかしかない。したがって、大半のスマホ端末には、このような高度なセキュリティ対策は施されていない。ハイテク関連のコンサルタント会社Denim Groupの代表を務めるDan Cornellは、企業に対して以下のようなアドバイスを提供している。

　「・・・セキュリティを念頭においてアプリケーションを構築する。脆弱性が発見された時の対応計画を策定する。研究者たちが脆弱性の可能性に気づいた際の報告先を周知する。脆弱性の報告を真剣に受け止め、迅速に対応する。脆弱性が顕在化した際に報告するようユーザの意識を高め、報告手段を確保する。」（２０１０年６月２１日付　”Smartphone Vulnerabilities on the Rise”（http://tinyurl.com/315jm7m)より）

　携帯電話の製造業者およびソフトウェアのベンダーは、自らが発見したスマホの脆弱性をすべて公表することに関してコンフリクトを抱えている。当然のことながら、アドレス帳やブラウザのキャッシュがセキュリティ侵害を受けた場合には、彼らはできるだけ速やかに修復してスマホが悪用されるのを回避したい。しかし、ソフトウェア・プロバイダーがパッチを当てる前に脆弱性に関する情報をすべて提供すると、悪意者にスマホを攻撃する材料を与えるリスクも高めてしまう。

　抜け目ないユーザの多くは、デバイスのセキュリティ保護を回避する方法を見つけ出し、自分の思い通りにデバイスを制御したいと考える。そのため、そのようなユーザは脆弱性を認識しても公表しようとしない。このような制御と安全性の間に生じるコンフリクトは、今後も続くであろう（http://tinyurl.com/3z9a9zz）。

　スマホの普及率は急速に高まっており、パソコン並みに当たり前になりつつある。したがって、スマホに対する脅威も早晩パソコンと同等のレベルに達するであろう。組織は、自らの行動がステークホルダーに与える影響を念頭において、注意深く対応しなければならない。本稿に示した防止技術はセキュリティ対策の導入に役立つ。企業は、自社が利用するスマホが危険にさらされていることを前提に、しかるべき計画を立てなければならない。

リチャード・Ｇ・ブロディ　（Ph.D，CFE）
アルバカーキにあるニューメキシコ大学アンダーソン・スクール・オブ・マネジメントの会計学教授（Douglas Minge Brown professor）

ダレル・バンワード
ニューメキシコ大学アンダーソン・スクール・オブ・マネジメント情報アシュアランスプログラムの大学院生

ケリー・ホーソン
ニューメキシコ大学アンダーソン・スクール・オブ・マネジメント情報アシュアランスプログラムの大学院生