Androidスマホの80%にリスク!暗号化によりセキュリティを確保

スマホ暗号化

ポケットにスマートフォンを入れたままタイムトラベルをしたとします。中世の農民が初めてこのデバイスを目にしたら、当然、興味を持つでしょう。そのとき、農民にスマートフォンの仕組みを説明できますか。スマートフォンは仕組みを知らなくても簡単に使えるため、ほとんどの人は説明できないでしょう。そして、これこそまさに問題の原因になっているのです。中世の農民と同じように技術的知識のない消費者は、最新テクノロジに精通した犯罪者にとって格好の標的です。そのため、最近のサイバー犯罪では特に、Androidスマホに利用されているLinuxカーネルという技術コンポーネントをベースにした新しい戦術(英文)が使われるケースが増えています。

その手法を理解するには予備知識が必要です。まず、ソフトウェアは複数の層で構築されています。家を建築する方法を思い浮かべてください。屋根は壁、足場、基礎によって支えられています。Androidなどのオペレーティングシステムも同じです。つまり、AndroidデバイスではLinuxカーネルが基礎の層となり、それによって、アプリケーションとデバイスのハードウェアの通信方法が定義されます。

そのため、サイバー犯罪者はLinuxカーネルを悪用できれば(英文)、直接携帯電話を悪用できます。これはユーザーのデバイスに不正な命令を送信するためにWebサイトに侵入していた従来の攻撃に比べると格段に進歩しています。この新しい方法ならそのような方法は必要ありません。Webサイトを経由しなくてもデバイスのふるまいを変更することができるのです。

 これは何を意味するのでしょうか。たとえば、見たこともないWebサイトが表示されることがあります。その保護されていないWebサイトに突然、ログインプロンプトが表示されます。ユーザー名とパスワードを入力すると、その情報が犯罪者の手に渡る仕組みになっています。犯罪者はユーザーのデバイスのソフトウェアを悪用して、デバイスのふるまいを制御していたのです。専門家は、Linuxカーネルの問題はAndroidスマホの80%までに影響を与える可能性があると推定しています。それは14億台のデバイスに相当します(英文)!

パニックが起こらないよう、Androidスマホを安心して使用するための重要な注意点(英文)をお教えしましょう。まず、犯罪者は単純にスマホにリモートアクセスすることはできません。そのような不正行為を行うには、Webサイトやメッセージ、ニュースフィードの共有リンクを悪用して、ユーザーのデバイスからの接続に侵入する必要があります。つまり、IPアドレスと送信元の情報を入手する必要があります。さらに、接続のテストに10秒かかり、不正なコードの注入に45秒かかります。そのため、平均的な市民に対してこのような攻撃が大規模に仕掛けられる可能性はほとんどありません。

また、ユーザー自身が大小のセキュリティ問題を意識することが重要です。ユーザーの知識が多ければ多いほど、より適切に自分自身を保護することができます。たとえば、Linuxカーネルのハッカーがスマホの接続にアクセスする必要があることを知っていれば、その抜け穴を悪用から防御できます。暗号化された通信を使用すれば、最初からサイバー犯罪者の侵入を拒否することができます。

Android 端末を保護する方法を含め、ヒントを以下で紹介します。

  • モバイルでWebサイトを表示する場合、「https」の「s」があることを確認します。
    接続の安全を保証するWebトラフィックの標準(英文)はいくつかありますが、すべてのWebサイトが従っているわけではありません。しかし、スマホで安全に利用できるWebサイトを特定することは可能です。Webサイトアドレスが「https」で開始していることを確認するだけです。ブラウザによってはその部分が非表示になっていますが、その場合は通常、サイトが安全であるかどうかを知らせる機能が組み込まれています。

  • 評判のよいWebアプリケーションやモバイルアプリを使用します。 
    ユーザーもリソースも多い大企業では、アプリケーションの保護が重視されます。たとえば、Gmailではメッセージの内容だけでなく、トランジット接続も暗号化されます。不明な点が多いサードパーティ製のアプリケーションは避けてください。 

  • Androidは必ず更新します。
    セキュリティの問題が検出されたら、ソフトウェアをアップデートして新しい防御を適用します。Linuxカーネルのように、Androidの古いバージョンではなく新しいバージョンに影響するような問題は例外的なケースです。一般的にはデバイスは常に更新すべきです。暗号化技術が改善された場合は特に、更新は重要です。

そして、もちろん、マカフィー公式Twitterをフォローして、消費者とモバイルセキュリティに対する最新の脅威を確認してください。また、マカフィー公式Facebookの「いいね!」もお願いします。

※本ページの内容は 2016年8月19日更新のMcAfee Blog の抄訳です。
原文: 80% of Android Phones Are at Risk! Luckily, People Can Use Encryption for Safety
著者: Gary Davis(Chief Consumer Security Evangelist)

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

 マカフィーでは、1,400人のIT担当者に年次アンケートを実施し、クラウド採用状況やセキュリティについて調査しました。
 調査の結果、クラウドの採用とリスク管理への投資を増やしている組織がある一方で、クラウドの採用に慎重なアプローチをしている組織が多いことがわかりました。
 本調査では、クラウドサービスの利用状況を分類し、短期投資の確認、変化速度の予測、重要なプライバシーおよびセキュリティ上の障害物への対応方法の概要を示しています。

 本レポートでは、クラウドの現状把握と今後の方向性、クラウド対応の課題やポイントを理解することができます。

<掲載内容>
■ 主要調査結果
■ 調査結果から言える方向性
■ 課題への対応
■ 変化への対応力
■ 考慮すべき点:安全なクラウドの採用で事業を加速