ESET スマホでもセキュリティアプリは必須! iOS/Android OSにおけるセキュリティリスクとその対策
本記事はキヤノンマーケティングジャパンが提供する「サイバーセキュリティ情報局」に掲載された「スマホにもセキュリティアプリが必要とされている背景・理由とは」を再編集したものです。
ここ数年、スマートフォンを狙ったサイバー攻撃が急増している。もはや、パソコンにセキュリティソフトをインストールするのは必須だと考えられているが、スマートフォンではセキュリティアプリが不要と考えるユーザーも少なくないだろう。しかし、それはセキュリティリスクを軽視した判断と言える。この記事では、iOSとAndroid OS、それぞれのOSで異なるセキュリティリスクと対策を解説していく。
スマホのセキュリティ対策が必須の時代に
スマートフォン(以下、スマホ)の利用拡大に伴い、スマホを狙うサイバー攻撃も増え、手口も巧妙化してきている。サイバー攻撃者は攻撃に対する費用対効果を重視する傾向にあり、攻撃対象のユーザー数が増えるほど成功件数も増えて利益獲得につながる。スマホへのサイバー攻撃が増加していることには、こうした明確な理由が存在するのだ。
また、もう一つの理由として、スマホをプライベートだけでなく、業務利用するケースが増えているという点も挙げられる。スマホ内に格納されている企業・組織の機密情報が、攻撃の材料として高い利用価値があるためだ。このような攻撃に対処するためにも、スマホのセキュリティ対策はもはや必須とも言えるようになってきている。
セキュリティアプリに見せかけた危険なアプリに注意
攻撃者はスマホを狙うためにさまざまな手口を用意している。その対策の代表格がセキュリティアプリのインストールだろう。しかし、攻撃者はそうしたユーザーの心理を見越し、偽物のセキュリティアプリを提供するという手口を用いる。スマホ向けはパソコン向け以上に、偽物のセキュリティアプリが出回っているため、アプリの選定時には細心の注意が必要となる。
偽物のセキュリティアプリはウイルス検知機能を有するなど、一見すると本物らしい機能が実装されているものも少なくない。検知機能をはじめ、セキュリティ対策に必要な機能が搭載されていることで、ユーザーに本物と信じ込ませるのだ。
セキュリティアプリに偽物が存在することを知っていますか?
35種類ものAndroid向け偽装ウイルス対策アプリが発見される
とりあえずセキュリティアプリをインストールしておけば大丈夫という考えは厳禁だ。アプリ選定は公式のアプリストアに限定し、インストール時には提供元をしっかりと確認すること。そして、選定にあたってはメディア等での評価を参照し、信頼のおけるベンダーが提供するものを利用するようにしたい。
搭載OSで異なるセキュリティリスク
スマホの場合、主にiOSとAndroid OSに大別できるが、それぞれでOSの設計が大きく異なることもあり、セキュリティリスクも変わってくる。一般的にiOSを搭載するiPhoneはAndroid搭載のスマホよりセキュリティ面で優れているとされる。iOSのセキュリティが優れている理由として以下3つが挙げられる。
1)アプリのダウンロードがApp Storeに限定
iOSでは原則として、公式の「App Store」以外からのアプリダウンロードが認められていない。そのため、アップル社の厳格な審査で安全性が確認されたものしか利用できず、いわゆる野良アプリをインストールする心配がない。
2)データの暗号化が標準
iOSでは標準としてすべてのデータが暗号化される仕様になっているため、仮に攻撃者が格納されたデータを窃取できたとしても、その内容を解読することが難しい。
3)OSのソースコードが非公開
iOSはオープンソースのAndroidと異なり、OSのソースコードが非公開となっている。そのため、攻撃者によって脆弱性が発見される、あるいはソースコードを不正に改変したバージョンが出回るといった可能性が少ない。
iOSにおけるセキュリティリスクとその対策
Android OSと比較すると、セキュリティリスクは低いとされるiOSだが、そのリスクはゼロというわけではないことに注意が必要だ。以下、iOSで想定されるセキュリティリスクとその対策を解説する。
1)iOSで想定されるセキュリティリスク
iOSで想定される主なセキュリティリスクは以下3つとなる。
・「脱獄」するとマルウェア感染の危険性が高まる iOSでは、いわゆる「脱獄(ジェイルブレイク)」と呼ばれる改造をOSに施すことで、App Storeで公開されているアプリ以外の非公式のものも利用できるようになる。この脱獄したiOSではマルウェア感染のリスクが高まることから、過去には脱獄したiPhoneを狙ったマルウェアが発見されている。以前は、標準のiOSで利用できない機能を有効にするために、脱獄を行うユーザーが一定数存在した。しかし、最近ではiOSの機能も充実し、セキュリティリスクを負ってまで脱獄するユーザーは減少傾向にある。
・企業内限定アプリからの感染 前述のとおり、iOSでは原則としてApp Store経由でしかアプリを配布できないが、特定の企業や組織内限定で使うためのアプリに限ってApp Storeを介さず配布することが認められている。この「Apple Developer Enterprise Program」と呼ばれる制度を悪用した攻撃も存在する。
・「サプライチェーン攻撃」によるもの サプライチェーン攻撃とは、ソフトウェアの開発元や配布先のパソコンに侵入し、開発中のプログラムにマルウェアを仕込む手口のこと。開発プロセスの途中でマルウェアを仕込まれてしまえば、厳格と言われるアップル社の審査であっても、すり抜けてしまう場合がある。
また、OSの仕様に依存しないものではあるが、フィッシング詐欺サイトなどでのアカウント侵害などもスマホのセキュリティリスクとして頭に入れておきたい。
2)iOSにおけるセキュリティ対策
iOSでは、いわゆるウイルス検知などの機能はOSの仕様上、提供できないようになっている。アプリの動作をサンドボックス内に限定するため、ユーザーが許可したものを除き、OSの主要なファイルにアクセスできないためだ。しかし、必ずしも盤石というわけではなく、過去には被害も発生している。リスク回避のためにも、基本的な以下5つのセキュリティ対策は講じるようにしたい。
・iOSとアプリを最新のものにアップデートする iOSやアプリを常にアップデートしておくことで、既知の脆弱性への対処が可能だ。脆弱性を解消しておくことで、マルウェアに感染するリスクは大きく低下する。最新データが提供されたら、可能な限り速やかにアップデートすることだ。
・セキュリティ対策が不十分なパソコンに接続しない iOS搭載のiPhoneを直接ターゲットとして狙うのではなく、パソコンを介してマルウェア感染を狙う手法もある。まずセキュリティ対策が不十分なパソコンを感染させ、iPhoneがそのパソコンに接続された直後にUSB経由で感染に至る。こうした事態を防ぐには、セキュリティ対策が不十分だと疑われるパソコンにiPhoneを接続しないようにしたい。
・脱獄をしない 先に解説したように、脱獄はセキュリティリスクを大きく高める。現在のiOSでは、一般ユーザーが脱獄をするメリットはほとんどないと言ってよい。また、脱獄したiPhoneはアップルのサポート対象外となるなど、脱獄は得られるメリットと比較してデメリットが大きい。
・不要なアプリやプロファイルを削除する 自分でインストールした覚えがない不審なアプリや構成プロファイルは、マルウェアが関係している可能性も考えられる。また、過去にインストールしたサードパーティ製のアプリなどで、利用頻度が少なくなったものを一度削除するといったことも安全性を高めることにつながる。
・定期的にデータのバックアップを行う マルウェア感染などのサイバーリスクはある日突然現実のものとなる。その時に後悔しても後の祭りだ。そういった事態を招かないためにも、重要なデータを定期的にバックアップしておきたい。データを人質に身代金を要求する、ランサムウェアへの対策にもなる。
2021年の年初に注目を集め、iOS限定で提供されていた音声SNSアプリ は公式のApp Storeからダウンロードするものであったが、通信経路に危険性が指摘されている。業務などで利用する場合、このようなリスクにも目を向けるべきだろう。
Android OSにおけるセキュリティリスクとその対策
Android OSを搭載するスマホは、iOSと比較すると一般的にセキュリティリスクが高いとされる。
1)Android OSで想定されるセキュリティリスク
Android OSで想定される主なセキュリティリスクは以下の3つだ。
・公式ストア以外からもアプリ入手が可能 Android OSでは、Google社運営の公式アプリストア「Google Play」以外にも、デバイスのベンダーやソフトウェアベンダーなどが運営する外部アプリストアが存在する。また、開発者がアプリを自社のWebサイトで直接配布している場合もある。アプリストアではなく、Webサイトで直接公開されているアプリは、通称「野良アプリ」と呼ばれ、Google社の審査を経ずに公開されるため、マルウェアに感染するリスクは高いと考えるべきだろう。
・デバイスのメーカーによるOSのカスタマイズ Android OSはオープンソースであり、ソースコードが一般に公開されているため、攻撃者は解析しやすい。また、メーカーが独自のアプリを追加、あるいはソースコード自体をカスタマイズしてデバイスに搭載しているケースもあるため、攻撃者にとってつけ込む余地が生じることになる。
・「サプライチェーン攻撃」によるもの iOSと同様にAndroid OSでも、「サプライチェーン攻撃」によるリスクは存在する。サプライチェーン攻撃によってマルウェアが仕込まれたアプリは、Google社の審査をすり抜け、「Google Playストア」で公開されてしまうことがある。
もちろん、フィッシング詐欺サイトなどOSに依存しないリスクはAndroid OSでも同様だ。
2)Android OSにおけるセキュリティ対策
Android OSはオープンソースであるため、第三者の手によって脆弱性が発見されやすい傾向にある。そのため、適切にセキュリティ対策を講じておくことが求められる。Android OSで行うべき主なセキュリティ対策は、以下の5つだ。
・OSとアプリを最新のものにアップデートする Android OSにおいても、OSやアプリのアップデートは既知の脆弱性への有効な対策となる。マルウェアに感染するリスクを低減させるためにも、OSを問わず提供されたアップデートを速やかに適用するようにしたい。
・セキュリティ対策が不十分なパソコンに接続しない セキュリティ対策が不十分なパソコンを経由してマルウェアに感染するリスクはOSを問わない。セキュリティソフトがインストールされていないなど、セキュリティ対策が十分ではないパソコンにスマホを接続することは控えることだ。
・Google Playストア以外からのインストールは慎重に 「Google Play」以外のアプリストアやWebサイトから「野良アプリ」をダウンロードしてインストールするのは信頼できる提供元からに限定すること。インストールする際には、その提供元の情報を事前にしっかりと確認してから行うようにしたい。
・不要なアプリやプロファイルを削除する iOSと同じく、自分でインストールした覚えがない不審なアプリや構成プロファイルは、マルウェアが関係している場合もあるため、見つけたら削除しておくことだ。
・定期的にデータのバックアップを行う 日常的にバックアップをとっておけば、万一のことが起こった場合に速やかに復旧できる。また、デバイスの物理的な損傷や紛失といった事態に遭遇した場合でも、別途デバイスを用意することで、最小限の被害に抑えることができる。
Androidはウイルスに狙われやすい?必要なセキュリティ対策は?
Androidスマホには信頼できるセキュリティアプリを
iPhoneと比較すると、オープンソースのOSをベースとするAndroidスマホはセキュリティ面で脆弱な点は否めない。そのため、Androidスマホを利用する場合、セキュリティソフトの導入が安全性を高めるカギとも言える。しかし、先述のとおり、Androidスマホ向けのセキュリティソフトには偽物が存在する。だからこそ、信頼のあるセキュリティソフトを導入するようにしたい。
ESETが提供する「ESET モバイル セキュリティ」は、高機能かつ動作が軽いことで定評があるAndroidスマホ向けセキュリティソフトだ。すでにパソコン向けの「ESET インターネット セキュリティ」を利用しているユーザーで契約台数内であれば、AndroidスマホにESET モバイル セキュリティをインストールすることですぐに利用できる。
ESETモバイル セキュリティでは、ウイルス検知はもちろん、詐欺サイトへのアクセスをブロックする機能やネットバンキング利用時の金銭被害を防ぐ機能など、すべての機能を30日間利用可能な体験版も用意されている。セキュリティソフトの導入を検討しているユーザーは試用することをおすすめしたい。