スマホの情報セキュリティ10大脅威

FVCプランナー Enterprise Resource Planning





情報セキュリティ10大脅威 2017 (1)スマートフォン編②

執筆者 森田昇 森田 昇
中小企業診断士、情報セキュリティスペシャリスト。
長年のシステムエンジニアとしてのITキャリアと、数多くの転職経験を強みに
IT経営・人事コンサルティング業務や研修講師として独立模索中。
趣味はプロレス、競馬、AKBグループの生観戦。

1.連載2回目です

セキュア

はい! 「IT目線で企業改革」を標榜する中小企業診断士、金閣寺より輝きたい・森田昇です。

早くも連載2回目となりました。まずは無事に2回目をアップできたことに乾杯!で、次は目指せ3回目ですね、前後編から3部作へ。
ゆくゆくは50回超えの1周年記念を盛大に行えるくらい積み重ねていければなぁと思い。

本原稿の依頼者からも、「10本20本とシリーズ化してもいいから、マニアックに掘り下げて自然検索で上位に引っかかるくらいの質でお願いしますよ!」とプレッシャーを受けているので、BtoB業態の中小企業の経営者層に検索して頂ける、喫煙所でのネタ以上に質が担保されたコンテンツを数多くご提供していこうと思います。

あ、喫煙所って最近はビルの外や非常階段とかに配置されていて喫煙者は肩身狭いですよね、昔は喫煙所で製品の仕様が決まったりするなど、顧客とのコミュニケーションの場だったのに。
ちなみにわたし、タバコまったく吸えません。お酒は大好きなのですが、はい。



2.今回のテーマは?

それでは、本題のコンテンツについてです。
連載第2回目のテーマは、「情報セキュリティ10大脅威 2017 (1)スマートフォン編②」です。

シリーズものとして、引き続き「情報セキュリティ10大脅威 2017」からですよ。

前後編ではありません。あ、第1回目と同じく、資料のURLはここです。

https://www.ipa.go.jp/files/000058504.pdf

セキュリティ脅威


で、(1)スマートフォン編②として、アプリのインストールや権限の許可についてお話できればと思います。付録のここの部分ですね。

セキュリティ策

3.「信頼できるサイトからインストール」・「アプリに許可する権限の確認」とは?


触らぬ神に祟りなし。
解説的に併記されたことわざや故事、これはまさにその通りですね。
過ぎたるは猶及ばざるが如し。

…まぁこれは、はい。

スマートフォンは、従来の携帯電話と異なりアプリを自由にインストールして様々な機能を利用することができます。
Android携帯だと「Google Play」、iPhoneだと「App Store」からですね。

携帯電話通信事業者が運営するもの(d マーケット、auMarket、ソフトバンク ピックアップ)や、一般の事業者が運営するダウンロードサイトなどもあります。
しかし、アプリの中には故意にウイルス機能を組み込んだ不正アプリ、またはウイルス機能を含んだツールキットで開発された不正アプリ等も存在しており、気づかずインストールしてしまうと、ウイルスに感染し、個人情報の窃取や振り込め詐欺等の被害に遭う恐れがあります。
またそういったアプリは、そのアプリの利用目的を超えるアクセス権限をインストール時に要求してきます。

例えば、電卓のアプリなのに、電話帳にアクセスするとかです。
利用目的を超えるアクセス権限を許可してアプリを起動してしまうとスマートフォン内の情報を窃取される恐れがあるのです。

…例えが分かりにくいので、分かりやすいネタで代替をば。

普段、ゲームアプリをほとんど触らないわたしもついインストールしてしまった、30~40代のゲームボーイ世代を直撃したスマートフォンアプリ「ポケモンGO」。
去年の夏にリリース後またたく間にダウンロード数が1億を超えるなど、社会現象にもなりましたね。
今でもたまにワンちゃんと夜中の街をポケモン狩りで彷徨っています。


ポケモンGOの画面

そんな「ポケモンGO」ですが、個人情報の窃取目的アプリである「パチモンGO」も本家のリリース前後に数多くリリースされ、あろうことか一時「Google Play」では本家よりも上位に表示されるという恐ろしい事態が発生しました。
「パチモンGO」を間違えてインストールしてしまった方がまだいらしたら速攻削除して!今すぐ!

あ、「パチモンGO」なんて初めて聞いた、と興味ある方は「ポケモンGO パチモンGO 個人情報」でググってみてください。
こりゃ間違えてインストールしちゃいますよね、だって「Google Play」で「ポケモン」と検索すると一番上に「パチモンGO」が表示されたのだもの!よほど疑い深い人間でもない限り、天下のGoogle様を信用しちゃいますよねぇ。


4.で、結局どうすればいいの?


iPhoneの「App Store」は厳格な審査が行われているので、悪質な「パチモンGO」が表示されることはなかったようですね。
また携帯電話通信事業者が運営するものも、インストールできるアプリを事業者が選定しているのでほぼ安全といえます。

問題はAndroid携帯の「Google Play」と一般のダウンロードサイトですが、その性質上、というか思想上、今でも審査が比較的ゆるいのですよ。
なので、これはAndroid携帯に限らず、すべてのスマートフォンからのアプリのインストール時にお願いしたいことですが、以下の対策を必ず行うようにしてください。

1.アプリの入手は公式マーケットから!
2.信頼できるサイト以外からのインストールは控える!
3.アプリのインストール時に、妙にたくさんの権限を求められるなぁと思ったら、いったん立ち止まる!

うーむ、書いていて3.は難しいと思い。だってそんな判断できないですよね、一刻も早くプレイしたいですもん「パチポケモンGO」。
なので、一番いい対策は、

4.周りの誰かがインストールしたアプリを、同じようにインストールする!

そう、知っている誰かがレビューして安全を証明してくれたアプリをインストールする。
これが一番間違いない、と。中小企業診断士の大好きな、いわゆる口コミですね(違う?)。

決してネットの情報を鵜呑みにしないリテラシーを発揮するか、口コミというアナログで攻めるか悩みますね。
実は「ポケモンGO」配信前にあらかじめ政府が注意喚起のチラシを作っていたので
(内閣サイバーセキュリティセンターから ポケモントレーナーのみんなへおねがい♪
http://www.nisc.go.jp/active/kihon/pdf/reminder_20160721.pdf )、
チラシというアナログ対策で問題なかったというオチでしたが(中小企業診断士はチラシや手書きの手紙も大好き)、
次回はスマートフォン偏の残りの対策について実例をもとに説明していこうと思います。ここまでお読み頂き、誠にありがとう御座いました。



5.終わりの雑談


それはそうと、桜花賞(GⅠ)のレーヌミノル、びっくりしましたねぇ。
1600mの距離不安、圧倒的1番人気ソウルスターリングによる先行馬掃除の展開不安、G1での乗り替わり、と不安だらけで単勝オッズが下げに下がったのに完勝ですよ!

他の馬がゆるい馬場に影響を受けていたとはいえ、レーヌミノル自身もそうでしたし、やや前傾ラップの締まったペースを先行押し切りですもの、文句なしの勝ちっぷり。
オークスはさすがに距離が長いでしょうから、NHKマイルCに出てきたら相当楽しみです。桜花賞からの転戦組がよく勝ちますしね。

しかし小倉2歳SからG1馬って本当珍しい…小倉競馬場行きたい。モノレール乗りたい。
ちなみに馬券はアドマイヤミヤビから轟沈しました。

最後方近くから脚を溜めに溜める競馬をするかもと覚悟していたものの、まさかあそこまでついていけないとは。
馬場なのか、状態なのか、距離なのか。致し方なし。





関連記事

スマホセキュリティの脅威1

スマホセキュリティの脅威1

情報セキュリティ脅威について語るシリーズ第1弾

スマホセキュリティの脅威3

スマホセキュリティの脅威3

情報セキュリティ脅威について語るシリーズ第3弾

スマホセキュリティの脅威4

スマホセキュリティの脅威4

情報セキュリティ脅威について語るシリーズ第4弾

セキュリティ詐欺1

セキュリティ詐欺1

Amazonマーケットプレイス詐欺のリスクと対策

セキュリティ詐欺2

セキュリティ詐欺2

メルカリ詐欺のリスクと対策

セキュリティ詐欺3

セキュリティ詐欺3

ランサムウェア対策

セキュリティ詐欺4

セキュリティ詐欺4

偽ウィルス対策

導入をお考えの方へ