日商 Assist Biz

更新

企業を襲うサイバー脅威 スマホの不正アプリ

必要以上の情報を収集するアプリ

今月は、スマートフォン(スマホ)やタブレットの不正アプリについて取り上げます。スマホやタブレットなどの携帯端末はここ数年で急速に普及し、今や業務でも生活でも欠かすことのできない機器の一つとなりました。

携帯端末は、まず機器としてさまざまな機能を持っています。アプリケーション(アプリ)をインストールすることにより、さらに機能追加が可能で、便利に使うことができます。電話機能やインターネットへの接続機能だけではなく、カメラ、音楽プレーヤー、手帳、メモリーなど、従来は別の機器などでしか実現できなかったさまざまなことが、スマホやタブレット一台で可能になっています。

この連載の別の回でも説明した通り、このような便利さの裏には必ず危険性が潜んでいます。PCにウイルスがあるように、スマホやタブレットなどの携帯端末にも不正なアプリがたくさんあります。以前に取り上げた「ランサムウエア」も、スマホやタブレットに感染するものがあります。

不正アプリでよくある手口としては「便利なアプリがある」などとインターネットの掲示板などに書き込み、その際にダウンロードサイトを示し、不正アプリをインストールさせるというものです。メールやショートメッセージサービス(SMS)などで誘導する場合もあります。スマホの場合は端末を特定できるIMEI(携帯電話端末などに割り当てられる固有の識別番号)、AndroidのID、インターネットの接続履歴、通話履歴などが、不正アプリにより取得されてしまう場合もあります。

ダウンロード、インストール時には、そのアプリがアクセス許可を求める機能や取得される情報の一覧を示されます。この際に、そのアプリ本来の機能を実現する上で必要がないと考えられる権限や情報を要求するものがあります。たとえば、電池を長持ちさせる、電波状況を改善するなどとうたっているアプリが「連絡先データの読み取り」や「メッセージの送受信」、「電話・通話」の権限や情報を求めているなどの場合です。このような場合は、インストールを控えたほうがよいでしょう。

ダウンロードをする際には、必ず公式サイトから、iPhoneであれば「Apple Store」、Androidであれば「Google Play Store」から行うようにしましょう。また、その際に必要以上の情報を与えていないかどうか確認するようにしましょう。検索エンジンなどでアプリの名前を検索し、その評判などを見て「不正アプリ」ではないかを調べてみるのもよいでしょう。また、PCと同様にセキュリティソフトの導入、アプリのアップデートも必ず行うようにしましょう。

長谷川長一(はせがわ・ちょういち) ソフトバンク、日本ユニシスを経て、株式会社ラックに入社。情報セキュリティ業界の先駆者として知られる同社で現在は、主にセキュリティ教育業務を担当している。『CISSP-行政情報セキュリティ公式ガイドブック』(アスキー出版)や『情報セキュリティ監査公式ガイドブック』(日科技連出版社)など著書多数

次の記事

長谷川長一

今月は、ソーシャルメディア(SNS:ソーシャルネットワークサービスとも呼ばれる)などでのアカウント関係の脅威について取り上げます。Twitter、Facebook、Instagram、LINE、Y…

前の記事

長谷川長一

今月は、IoT機器への攻撃について取り上げます。「IoT(Internet of Things)機器」とは、デジタルビデオレコーダーやネットワークカメラ、家庭やSOHO用ブロードバンドルーター…

関連記事

長谷川長一

今回は人的脅威の中の非意図的なもの、「ヒューマンエラー」について取りあげます。「ヒューマンエラー」には、「誤操作」「設定ミス」「紛失・置き忘れ」「盗難」などがありま…

長谷川長一

今回は人的脅威の中の“意図的脅威”である情報セキュリティー上の「ルール違反」について取りあげます。「ルール違反」は、前回取り上げた「内部不正」と比較すると、軽いものと…

長谷川長一

今月からは、企業内部の人的脅威について取り上げます。情報セキュリティーにおける人的脅威には、意図的なものと非意図的なものがあります。まず今回は人的脅威の中でも意図的…