生産性や利便性の向上を目的として業務でスマートフォンを利用する機会が増えているが、フィッシング詐欺をはじめとしたスマートフォンを標的とするサイバー脅威が拡大していることを忘れてはならない。そうした中、スマートフォンを中心としたモバイル端末向けのセキュリティー製品も進化を遂げている。有識者の見解やベンダーの取り組みから、モバイルセキュリティー市場を分析する。
（取材・文／岩田晃久）

日本スマートフォンセキュリティ協会
「スミッシング」による被害が増加

　通信キャリアやセキュリティーベンダーなどで構成する団体の日本スマートフォンセキュリティ協会（JSSEC）は、スマートフォンに対するセキュリティー脅威の調査や技術研究などを行い、情報発信、普及啓発に取り組んでいる。
 
　JSSEC技術部会の仲上竜太・部会長は「法人ビジネスにおいてもスマートフォンは手放せないツールになっている。一方で、セキュリティーリスクが十分に伝わっていない状況があり、企業によってはどういった対策をすればいいのか分からないといった声がある」と指摘する。

　スマートフォンを中心としたモバイル端末には、どういった脅威があるのだろうか。代表的なのは、フィッシング詐欺だ。特にスマートフォンの場合、ショートメッセージ（SMS）を悪用するフィッシング詐欺である「スミッシング」による被害が増加している。

　個人を標的としたスミッシングの場合、大手ECサイトや金融機関を装って偽サイトに誘導し、個人情報やクレジットカード情報を抜き取る。法人端末を狙った攻撃の場合、利用者が多いSaaSなどになりすまして「ログインが必要」といったメッセージを送り、ID・パスワードを窃取するという。以前は海外からのスミッシングの場合、文章の日本語が不自然などの特徴があったが、最近は攻撃者が精度の高い翻訳ツールや生成AIを使うようになったことで、文章だけでスミッシングを見分けるのが難しくなっている。また、記載されているURLが正規のサイトと酷似していたり、ログイン画面が正規サイトをコピーした画面になっていたりと巧妙化している。

　業務ではメールを利用するケースが多いが、取引先などをかたって受信者をだますビジネスメール詐欺も、PCと同様にスマートフォンでもセキュリティーリスクとなっている。

　SMSやメール、広告を使い不正なスマートフォンアプリをダウンロードさせ、端末内の情報を窃取する、あるいは端末を踏み台にして他社にメッセージを送るといった攻撃も横行している。

　スマートフォンアプリは、米Apple（アップル）の「App Store」、米Google（グーグル）の「Google Play」が市場をほぼ独占しているが、6月に「スマートフォンにおいて利用される特定ソフトウェアにかかわる競争の促進に関する法律案」が成立したことで、ほかの事業者が市場に参入しやすい状況となった。しかし、開設されるストアによっては、アプリの審査などのガバナンスが徹底されないことも考えられるため、ユーザーはアプリをダウンロードする際、これまで以上に注意する必要がある。

　そのほかにも、ウイルス感染などを偽った警告画面を表示して、画面に記載している電話番号やメールアドレスに連絡させて、遠隔操作ツールをインストールさせる「サポート詐欺」による被害も増加傾向にあるという。

　PCの場合、ランサムウェア攻撃による被害が増えているが、スマートフォンの場合は、目立ったランサムウェア被害はほとんど公表されていない。利用部会の本間輝彰・副部会長は、「スマートフォンの場合、アプリはアプリストアから導入するのが大半で、管理はMDM（モバイルデバイス管理）ツールで統制されている。端末内の情報も少ないため、PCに比べて暗号化による影響も小さい。こういった面から攻撃者は、スマートフォンに対しては情報を盗むほうを重視する傾向が強い」と説明する。

　スマートフォンのセキュリティー対策については、MDMや多要素認証を用いることが基本になる。SaaSによっては、アクセスできる端末を制限する機能があるため、それを使うことでID・パスワードが盗まれた際のセキュリティー対策ができる。仲上部会長は「対策に加えて、従業員への教育を行うことも重要だ」と強調する。また、「スマホを紛失した際、従業員は混乱してしまうため、紛失した際の運用手順を明確にしておくのも大切だ」（本間副部会長）。

　JSSECは、スマートフォンの導入・運用・利用停止の各段階におけるセキュリティー上の考慮点をまとめた「スマートフォン利用ガイドライン 対策チェックシート」を提供するなどして支援を行っている。