スマートデバイス脅威の最新動向
~ビジネス活用に向けたセキュリティ対策とは

本対談は、「KDDI Smart Mobile Safety Manager」サービスをはじめ、スマートデバイスのセキュリティにも積極的な取り組みを推進されているKDDI株式会社のクラウドサービス企画開発部 MDMサービス企画のリーダーである川本孝明氏とトレンドマイクロ株式会社の執行役員・統合政策担当部長である小屋晋吾が、最新のスマートデバイスの脅威動向や、企業がスマートデバイスをビジネスに活用するために必要となるセキュリティ対策への対応について議論させていただいた内容を掲載します。

川本氏 スマートデバイスのビジネスへの利用には脅威を理解した上でセキュリティ対策を実施しなければなりませんが、トレンドマイクロから発表された「モバイル端末を狙った不正アプリ及び高リスクアプリが200万を突破」という記事を拝見し、スマートデバイスも攻撃の対象としてリスクが増加していると感じています。最近のスマートデバイスにおける攻撃の状況はいかがでしょうか。

小屋 その記事は、2014年3月時点のものですね。同年9月には(PDF:4.8MB)、Android向けの不正アプリや高リスクアプリの検出数が350万となるなど急増しており、今後も継続して数値は伸びていくと考えられます。
スマートデバイス内のアドレス帳データなどに、機密情報を不正に窃取する機能を追加してリパックするパッケージ等も無償で配布されているため、不正な機能入りのアプリ作成が容易に可能となるわけです。ツール形態で配布されているため、多少のIT知識があれば誰でも作れる状況にあります。

川本氏 Webで検索すれば、簡単に不正アプリを作成するためのパッケージを見つけることが出来、使い方さえわかれば誰でも不正アプリが作成可能なのですね。これならハッカーになりたいと思ったら簡単になれますね。

小屋 そうですね。AndroidはLinux系ツールになるので、正規アプリのリバースエンジニアリングが比較的容易に可能です。不正機能もモジュールで提供されるので、後はツールで不正モジュールを組み込んでしまうだけで、正規アプリを簡単に不正アプリにすることができます。不正アプリを配布するとなったら偽ダウンロードサイトを作るなり、強制的にユーザへメールなどで送りつけるなど、それほど難しい事ではありません。従ってAndroidに関しては、不正アプリがまだまだ増えていくでしょう。

川本氏 Androidに比べて安全といわれているiOSへの脅威はいかがでしょうか?

小屋 iOSは、OSの作りからしてもアプリケーションをダウンロードしてから使うユーザーサイクルからしても、比較的堅牢でした。しかしいつまでも安全というのはIT機器においてはありえないですね。また、アプリだけでなくウェブサイトを閲覧するソフトウェアが不正なサーバに誘導されてしまい、そこからデータを入力してしまうのであれば、AndroidもiOSも変わらないですからね。

川本氏 確かに、ウェブサイトに関しても不正サイトへ誘導されてユーザIDや機密情報を窃取されるなどの脅威がありますね。

小屋 iOSは、基本的にはApp Storeからしかダウンロードしないが、法人の場合は自社用に開発したアプリをApp Storeとは別に配布可能な「iOS Developer Enterprise Program」がありますよね。その機能を利用して、他の場所から操作するという攻撃も出ている。この攻撃手法から企業が独自開発したアプリを狙った場合には不正アプリとしてデバイスに配布することは不可能ではないですね。

川本氏 Android、iOSへの脅威について、よく理解できました。実際にスマートデバイスに入っているアドレス帳などの個人情報や企業のリソースを利用するためのID/パスワードなどの機密情報がハッカーなど第三者に窃取されたなどの被害報告はあるのでしょうか。

小屋 はっきりそういった事故が起きたと宣言している企業は無いが、おそらく起きているということは想定できるんですね。現時点では、ログの残り方もPCとは異なるため、データを抜かれたかどうかがわかりにくいという現状がある。
またログを取得していても、攻撃者は攻撃に関連するログだけを消してしまうため、後からログを調査しても発見することができない場合があります。

川本氏 なるほど、スマートデバイスにおけるロギング方法は課題ですね。現状のスマートデバイスの脅威は、不正アプリやウェブサイトを通じた脅威が中心ですが、他に対策が必要な脅威はありますか?

小屋 当社調べのデータでは、モバイル端末の4%程度は「紛失する」など物理的な脅威があるとのデータがあります※1。端末自体のセキュリティ対応、無くした後に必要な対処が出来ているのか等、設置型のPCとはまた違う対策する必要があります。

法人をターゲットにした攻撃事例とは

川本氏 法人のスマートデバイスをターゲットにした標的型攻撃などは発生しているのでしょうか?

小屋 スマートデバイスに関しては、攻撃プログラム自体は二年ほど前から発見しており、今後、これらが使われる可能性があります。また、海外では攻撃事例が報告されています。インターネットには国境はないので、当然のことながら日本も攻撃対象となってきます。PC上での攻撃では、既に日本語に対応したツールやテンプレートも出ていますし、日本人が加担していると思われるケースも多々あるため、スマートデバイスにおいてもPC同様に標的型攻撃の脅威があります。

川本氏 実際の攻撃手法はどのように行われているのでしょうか?

小屋 最近は「水飲み場攻撃」といって、例えば、バッテリーに興味のある方を対象に標的型攻撃を仕掛けたいので、まずバッテリーの情報がアカデミックに解説されたサイトを乗っ取り、エクスプロイトコードを埋め込んで、サイトへアクセスした人の情報を盗む手法があります。現在のところ、PC向けの攻撃がほとんどですが、今後はスマートデバイスを狙ってくる事も推測されます。

川本氏 PC中心の攻撃が多いとのことですが、スマートデバイスへの攻撃はどうでしょうか?

小屋 攻撃の総量としては、引き続きPC向けが多いです。攻撃者としては、目的を達するためにどのようなルートが安いコストで目的を達成する成功率が高いかを考える。国内においては、スマートデバイスだけで仕事をしている企業は少ないかと思われるので、一般的にはWindows OS,Windowsアプリケーション、ミドルウェアの脆弱性を狙った攻撃が圧倒的に多いですね。

川本氏 Windows向けの攻撃がベースにあり、それらが現在の攻撃の量になっている訳ですね。攻撃手法のテンプレート化や攻撃スキル習得等の効率化が図れた場合には、スマートデバイス向けの攻撃が増えてくる可能性もありますね。

小屋 当然あります。攻撃対象はインターネットに繋がっている業務関連時間の総量によると思います。

何か起きてからでは遅い。会社、社員を守るためのセキュリティ対策

川本氏 現在、KDDIはスマートデバイスのセキュリティ対策として、MDMサービス「KDDI Smart Mobile Safety Manager」を提供しています。PCにウイルス対策が必要なように、スマートデバイスにMDMは必要不可欠と考えていますが、導入率は100%とはいかない状況です。
2年前と比較しMDMの導入は急増しているものの、スマートデバイスへのセキュリティ対策状況はまだまだ低いと感じています。その点はどのように感じていらっしゃいますか?

小屋 まったく同感ですね。業務に使うデバイスとして、企業が社員の使うスマートデバイスをコントロールしようという意識が薄いと思います。「スマートデバイスを会社の機密情報が載る重要なインフラとして捉えているか」という観点が経営者やIT管理者に無ければ、会社はルールを定めるだけで、個人にセキュリティ対策を任せてしまっている状態になります。デバイスのコントロールを放棄している場合、何か問題が起きた時に「社員の責任なのか、会社の責任なのか」という問題が必ず出てきます。それを事前に対策するのが経営者の役目であり、会社のため、社員のためとなる。社員を守るという点でも、しっかり対応するという事が毅然とした会社の対応です。

川本氏 お客さまによってはMDMは導入したが実際の活用までに至らないケースも多く見られます。スマートデバイスにMDM設定が入っていることで安心し、MDM運用までは行っていない方もいらっしゃいます。

小屋 中小企業の場合、何かが起きてしまったらリソースも限られていることが多いため、大騒ぎになり得ます。元請けの情報が漏えいしてしまったら会社の経営を左右しかねない。周りが事故を起こしてからでは遅い、リスクがあるのであれば、事前に対策する意識を持っていただきたいし、IT管理者は常に現在の脅威について知っておく必要があります。

川本氏 サービスの導入だけでなく運用も重要ですね。当社はスマートデバイスとMDMによるセキュリティ機能の提供だけでなく、お客さまのスマートデバイスの運用作業を請け負うことや、中小企業の方にはMDMと運用作業をパックにした「KDDI デバイスマネジメントパック」も提供していますので、お客さまの運用負担を軽減することも可能です。

川本氏 これからの企業のセキュリティへの取組みとして、どうなっていくべきと考えていますか?

小屋 日本はアウトソースビジネスが成り立っているので、その分野のプロに任せるというのがいいと考えています。大企業ならば自社の運用も可能ですが、中小企業は専任の人材を確保することは難しい場合もあります。日本と欧米とのIT人材の比率を見るとわかりますが、欧米のエンドユーザ企業におけるIT人材が約7割なのに対し、日本はエンドユーザ内に約3割、SIer含め外部に約7割いるという現状です※2。日本ではSIerなど外部の人材がネットワークから業務アプリケーションまでを提供することでITシステムが成り立っている。一概にどちらがいいというわけではないが、エンドユーザだけを切り出してみれば、IT知識は欧米より低いという結果になります。

全ての業務をアウトソースするのでは元請けの責任がなくなってしまうので、外部委託先は正確なデータと世の中的に考えられる閾値で明らかにおかしいことは元請けに伝え、最終的な判断は元請けが行うなど、それぞれの責任を明確にすることが重要だと思います。

川本氏 セキュリティ対策ならばトレンドマイクロ、スマートデバイスと運用ならばKDDIといったプロに任せることでお客さまは自身の事業活動に注力することができますね。お客さまのビジネススピードを加速させるために、今後も企業の安心、安全を実現するサービスを提供できればと思います。
本日はスマートデバイスのセキュリティ対策に関する貴重なお話をいただき、ありがとうございました。

KDDI株式会社 クラウドサービス企画開発部 川本 孝明氏

MDMサービス企画のリーダーとして、「KDDI Smart Mobile Safety Manager」をはじめとしたモバイル環境におけるセキュリティ管理サービスを担当。KDDI Cloud Blogにて、スマートデバイスを安心・安全に利用するための方法や、デバイス管理の市場動向を紹介中。

※1 トレンドマイクロ調べ
※2 出典 IPA グローバル化を支えるIT人材の確保、育成施策に関する調査 2011年3月 各社の社名、製品名およびサービスは、各社の商標または登録商標です。

記事公開日 : 2015.02.18
 この記事は、公開日時点での情報です