スマートフォン(タブレット)のセキュリティ脅威の動向と簡易チェックリスト(プライベート編)
今年も、外郭団体様や個別企業様において、セミナーや研修の講師をさせて頂きましたが、特に今年は「セキュリティ対策」をテーマにした依頼が多くありました。
そこで、スマートフォン(タブレット)やPCをプライベートで利用する方々が、気をつけなければならない最低限の対策について、簡易チェックリストという形で整理しました。
更新
2016年03月09日 関連する他サイト記事:1000万個を突破したAndroid不正アプリの「これから」
2016年02月22日 関連する他サイト記事:未成年の携帯電話・スマートフォン利用実態調査
2014年08月12日 関連する他サイト記事:ベネッセ事件、個人情報保護ルール私案を考えてみた
2014年08月04日 関連する他サイト記事:「小中学生向け情報モラル教材」を本日より配布開始
2014年07月02日 関連する他サイト記事:スマートフォンを使う子どもの親が覚えておくべき設定
2013年12月22日 関連情報追加:企業の管理者が事前に考えておくこと、利用者簡易チェックリスト
2013年12月15日
セキュリティ脅威の動向
昨年までの動向
トレンドマイクロ株式会社が2013年1月10日に発表した「2012年度インターネット脅威 年間レポート」によると、日本国内における昨年までの脅威の動向は以下の通りとあります。
- ・2010年8月に、初めてAndroid端末向けの不正アプリを確認
- ・2011年12月は約1,000個に対し、2012年12月時点では35万個と1年で300倍以上に増加
- ・2012年の上半期までは、ゲームやアダルト、動画コンテンツの再生など、ユーザの興味を引くアプリケーションに偽装するものが主流
- ・下半期には、スマホの普及を背景に、「電池を長持ちさせるアプリケーション」や「セキュリティソフトを偽装する」など、スマートフォンに対する不満や不安につけ込む騙しの手口が拡大
今年の動向(第3四半期まで)
さらに、2013年11月7日発表の「2013年第3四半期セキュリティラウンドアップ」によると、以下の通りとなっています。
- ・Androidを狙う不正・高リスクアプリは、今期新たに28万2,000個確認され、累計で100万個に到達
- ・日本では、不正アプリケーションの拡散に正規マーケットを利用
- ・登録デベロッパー名を次々に変える手法で、同一攻撃者が150以上のワンクリウェアを公開した事例も確認
- ・海外では、Android、iOS、Windowsを問わないチャットアプリの通知を装った脅威を確認
セキュリティ脅威に対する対策
今年もスマートフォンやタブレットの普及がさらに拡大していることから、セキュリティ脅威も拡大しているといえます。
- ・スマートフォンやタブレットは、パソコン(PC)に携帯機能が付加されたものである。
- ・「盗難・紛失」「ウィルスや不正アプリ」「ネット詐欺」など、PCと同様の脅威がある。
- ・記録されている利用者や友人の情報が、窃取/詐欺などされる被害に遭う危険性がある。
不正アプリケーションの脅威
攻撃者は、スマートフォン(タブレット)に不正アプリケーションを侵入させて、個人情報を窃取したり、遠隔操作に利用します。
- ・電話番号やメールアドレスなどの情報を窃取し、出会い系サイトやサクラサイトへ誘導するスパムメール送信に使用する。
- ・遠隔操作を実現するサーバモジュールとその作成ツール、攻撃者が遠隔操作を行うためのクライアントモジュールをユーザ環境に侵入させる。
- ・任意の正規アプリケーション内に、遠隔操作ツール(RAT)のサーバモジュールを仕掛けた「リパックアプリ」を作成し、標的型サイバー攻撃を行う。
代表的な手口
この不正アプリケーションを領布する経路として、最近Android向け正規マーケット「Google Play」でも確認されたようですが、代表的な手口は以下のパターンです。
- ・メールアドレスに、迷惑メールの形でダウンロードに誘導する。
- ・端末の機能改善などの実用性をアピールして、インストールに誘導する。
- ・「限定公開」「人気のアプリ」などといった、興味をそそる表現でインストールに誘導する。
基本的なセキュリティ対策
そこで、基本的な対策は以下の通りですが、手口に関する新たな情報を確認し、常にセキュリティ脅威を意識するなど、利用者自らが留意していくことが必要です。
- ・機器(OS)のアップデートを実施する。
- ・改造行為を行わない。
- ・信頼できる所からアプリケーションを入手する。
- ・インストール前はアクセス許可を確認する。
- ・セキュリティソフトを導入する。
- ・PCと同様の管理を実施する。
簡易チェックリスト(プライベート編)
ここでは、スマートフォン(タブレット)やPCをプライベートで利用する方々が、気をつけなければならない最低限の対策について、簡易チェックリストとして整理しています。
| Ⅰ | 全般 | |
|---|---|---|
| 1 | OS及び各種ソフトウェアは、常に最新バージョンに更新している | |
| 2 | ① | ウィルス対策ソフトを導入し、「自動更新」設定するなど、常に最新バージョンに更新している |
| ② | ウィルス対策ソフトで、「リアル」「定期」などのスキャン設定をしている | |
| 3 | 機器の故障やセキュリティ事故などに備えて、定期的にデータをバックアップしている | |
| 4 | WinnyやShareなどのファイル交換ソフトは、ファイル流出の危険性があるため入れていない | |
| 5 | 他者からのデータを持ち込むときは、 | |
| ① | USBメモリやDVDなどの可搬記録媒体ではなく、できる限りメールで受取るようにしている 可搬記録媒体の場合は、データのウィルスチェックを事前に行っている | |
| ② | データの保管、廃棄など、入手先と確認して適切に管理している | |
| 6 | IDやパスワードは、 | |
| ① | 他人に推測されにくいものを設定し、定期的に変更している | |
| ② | サービス単位に設定し、複数のサービスで使いまわしはしていない | |
| Ⅱ | その他 | |
| 1 | 情報セキュリティに関して常に意識し、事故を起こさないように心掛けている | |
| 2 | 情報セキュリティに関する情報を収集できる機関を知っている また、相談できる知人がいる | |
| Ⅲ | メール | |
| 1 | ① | メールソフトは適切に設定して使用している |
| ② | ウィルスチェックや不正侵入防止などのセキュリティ項目を適切に設定している | |
| ③ | メール形式は、「HTMLメール」は危険性があるので、できる限り「テキスト形式」にしている | |
| ④ | プレビュー表示はしないようにしている | |
| ⑤ | 添付ファイルの自動保存などの設定はしていない | |
| 2 | ① | 受信時:送信元や添付ファイルなどを事前に確認して開いている |
| ② | 身に覚えのないメールのURLや添付ファイルは、不用意に開いていない | |
| ③ | 知人からのメールでも、アドレスや本文を確認し、不審点があれば電話などで直接確認し、URLや添付ファイルを開いている | |
| ④ | 添付ファイルは、プロパティで拡張子を確認してから開いている | |
| ⑤ | 添付ファイルを開く前に、ウィルスチェックをしている | |
| 3 | ① | 送信時:送信先、本文、添付ファイルに間違いないかを、送信前にもう一度確認している |
| ② | txtやexeのファイルを不必要に添付していない | |
| ③ | ファイルを添付する際には、事前にウィルスチェックをしている | |
| ④ | お互いのメールアドレスを知らない複数人に送る場合、Bcc機能などで他の人にメールアドレスを誤って伝えてしまわないように心掛けている | |
| ⑤ | 重要な情報を添付する場合は、パスワード保護をかけている | |
| Ⅳ | Webサイトの閲覧、ソフトのインストール | |
| 1 | 不審な(怪しい)Webサイトは閲覧していない | |
| 2 | ソフトは信頼できる製品を入手し、適切に使用している | |
| 3 | Webサイトの内容をそのままうのみにせず、説明や他の評価など、できる限り情報を集めて判断している | |
| 4 | 会員登録やソフト入手時には、安易に「はい」ボタンを押さず、条文や注意事項の内容を確認している(重要な情報を入力する際は、ブラウザのSSLや鍵マークを確認している) | |
| Ⅴ | スマートフォン及びタブレットの利用 | |
| 1 | パソコンと同じコンピューターであると意識し、パソコンと同様の管理・利用を心掛けている | |
| 2 | OS及び各種ソフトウェアは、常に最新バージョンに更新している | |
| 3 | ウィルス対策ソフトを導入し、「自動更新」設定するなど、常に最新バージョンに更新している | |
| 4 | 機器及び設定などの改造はしていない | |
| 5 | ソフトは信頼できる所から入手し、インストール前には「アクセス許可」内容を確認している | |
| 6 | 勤務企業の情報システムに接続し、業務システムを使用していない | |
| Ⅵ | ソーシャルメディア(Facebook、Twitter、Google+など)の利用 | |
| 1 | 社会人として良識のある発言や投稿を心掛けている(不適切な発言や投稿はしていない) 一旦ネットに書き込んだものは完全に消すことはできないし、匿名ても必ず本人が特定されることを認識している | |
| 2 | ① | プラーベートでの利用を前提としている |
| ② | 業務に関する情報は投稿していない。業務時間内に利用していない | |
| ③ | 問題が起こったら勤務企業にも波及すると認識している | |
| 3 | 見知らぬ人からの「友達申請」を安易に受けていない。ネット上だけの相手は信用していない | |
| 4 | プロフィールなどの個人の情報は、必要最低限の登録にとどめている | |
| 5 | 写真を投稿する際は、一緒に写っている人への影響を考慮している 位置情報が付加されているので、場所が特定される可能性があることを認識している | |
| 6 | 侵入される危険性があるので、サービスを利用した後は「ログオン」状態で電源を切るのではなく、都度必ず「ログオフ」して電源を切っている | |
関連する情報
独立行政法人 情報処理推進機構(IPA)
その他団体等
国民を守る情報セキュリティサイト(内閣官房情報セキュリティセンター)
トレンドマイクロ株式会社
マカフィー株式会社
関連する他サイト記事
1000万個を突破したAndroid不正アプリの「これから」
2016年3月7日 トレンドマイクロ セキュリティブログ
未成年の携帯電話・スマートフォン利用実態調査
インターネット上でのお小遣い稼ぎは男子高校生79.6%、女子高校生68.9%が経験あり、毎月の平均収入は10,000円未満が86.8%と回答
2016年2月22日 デジタルアーツ株式会社
ネットセキュリティ今どきのキホン
INTERNET Watch
ベネッセ事件を機に、個人情報保護ルール私案を考えてみた
2014年8月12日 日経トレンディネット
LINE、静岡大学と共同開発した「小中学生向け情報モラル教材」を本日より配布開始
2014年8月4日 LINE株式会社
スマートフォンを使う子どもの親が覚えておくべき設定(Android編)
2014年7月2日 ITmedia Mobile
不正ログイン被害にあわないためのID・パスワードの管理方法
パスワード作成の考え方
2014年6月25日 マイナビニュース
PC遠隔操作事件、デジタル捜査に残された教訓
2014年5月27日 日経トレンディネット
万が一に備える「IT身辺整理」のススメ
2014年4月25日 ITpro
なぜSNSに我が子の写真をアップしたら危険なのか?写真データの怖さ
2014年3月21日 ライブドアニュース
【10代のネット利用を追う】
炎上予防に大学がSNSガイドライン、“想像力の欠如”補う具体的すぎる説明文
2013年12月27日 INTERNET Watch
関連する情報(当サイト)
スマートフォン(タブレット)の業務利用、管理者が事前に考えておくこと、利用者向けセキュリティ簡易チェックリスト(企業内編)
2013年12月22日
-
-
ブックマーク -
ツイート -
LINEで送る
関連記事
前へ
タブレットの比較(2013年冬)、10インチ前後AndroidやiOS搭載モデルのまとめ
次へ
「Fonepad Note 6」ASUSがSIMフリーの6インチAndroid 4.2搭載タブレット、国内モデルを発売