法人組織におけるiPhone利用時のセキュリティリスクを解説
2024年9月9日、AppleよりiPhone16が発表されました。新シリーズリリースの度に大きく話題を呼ぶiPhoneですが、業務用端末として導入している組織も多いでしょう。今回はiPhoneを法人組織で利用する際のリスクについてまとめました。
iPhoneはセキュリティ上安全?
iPhoneは言わずもがな最も人気なスマートフォンブランドの1つで、世界中で広く愛用されています。昨年のIDCの調査では、日本国内のスマートフォン出荷台数シェアの約50%をiPhoneが占めていることがわかっています。
スマートフォンはもはや個人での私的な利用にとどまらず、ビジネスでも必須のツールとなっている企業も多く見られます。
iPhoneが業務用携帯として使用される要因には様々な機能、利便性に加えてセキュリティ面での堅牢性も含まれることが予想されます。一般的に、セキュリティについてもiPhoneは他のスマートフォンに比べてより安全だとされています。その要因は下記などが挙げられます。
・iOSのソースコードが非公開であるため、OSの脆弱性をターゲットにした攻撃が開発されづらい
・アプリのインストール先が公式アプリストアのApp Storeにほぼ限定されているため、不正なアプリがインストールされづらい
・アプリがそれぞれ固有の仮想スペースで実行されるよう制限されているため、マルウェアが他のプログラムに影響を与えづらい(Android OSにもこの仕組みは存在しますが、アプリ開発者側が本制約の採用を選択できるため、iOSの方がより信頼できるとされています。)
これらの理由から安全とされるiPhoneですが、もちろんセキュリティ上100%安全ということはありません。実際に過去にiPhone向けの攻撃ツールが確認されている上、「KeepSpy」というiPhoneに感染するマルウェアの存在も確認しています。
また、組織にとっては物理的に情報が社外に持ち出されていることから、その管理についても野放しにすることはできません。iPhoneを利用するのが人である以上、内部犯行や過失による想定外の使用が行われる可能性がどうしても残ってしまいます。
では、企業が業務端末としてiPhoneを利用しておく上で注意しておくべきリスクはなんでしょうか。具体的な対策手法と合わせて整理します。
法人組織でiPhoneを使用する際のリスク6種類
iPhoneだけでなくその他のスマートフォンを業務利用する際に当てはまる事項も含まれますが、法人組織が注意しておくべきリスクについて6つ例示します。
情報漏洩リスク
一昔前の、組織内のシステムにほぼ全てのビジネス関連の情報が保管されていた時代と異なり、社員がスマートフォンを携行することによって大量の情報が社外に持ち出されることとなりました。業務関連の情報はクラウドにあり、スマートフォンは情報へのアクセス権だけを持つような場合もあります。しかし、機密情報にアクセス可能な端末を多数の社員が社外に持ち歩くという状況は、企業にとって情報漏洩のリスクが高い状態にあります。
具体的には、端末の紛失や盗難が起きた場合、スマートフォンに含まれる情報(メール、画像、連絡先情報など)、スマートフォンからアクセス可能な情報(クラウドやVPN経由の社内サーバに格納される情報)が他者に窃盗される可能性があります。これらに個人情報が含まれている場合、個人情報保護委員会への報告や対外的な告知といった業務が発生する他、該当する個人への連絡・謝罪・補償など、様々なコスト増加につながる恐れがあります。もちろん情報漏洩に伴う企業イメージの低下など長期的な損失にもつながりかねません。社員が操作している携帯自体を盗み見られる可能性があるなど、情報管理の手綱を多くの社員が握ることになるため、社員の情報リテラシー向上などもiPhone利用の際に必要な要素になります。
業務外利用リスク
業務用に配布された端末を用いてネットサーフィンを行うことや、特定分野の情報収集を行うなど業務外利用については、必ずしも企業にとって大きな不利益につながるとは限りません。また、特定の行動が業務外と判定することも難しいケースがあります。しかし業務と関連の無いゲームやSNSのアプリを利用するなど、明らかに組織にとって業務外となるスマホ利用については制限を行うことが推奨されます。これらを制限しない場合、通信量や電気代など組織の資産が浪費され続けることになります。また、機密情報を外部にアップロードすることによる情報漏洩や、マルウェア感染のきっかけとなる不審アプリのインストール、不正サイトへのアクセスなど他のリスクを増加させてしまう恐れがあります。
マルウェアへの感染リスク
前章でも「KeepSpy」というマルウェアについて言及していますが、iPhoneを狙ったマルウェアの出現も複数確認しています。マルウェアに感染した際のリスクは多岐にわたり、上述の情報漏洩リスクも大きく増加します。他にも不正アクセスやスパムの踏み台として使用される場合には、自社への被害に留まらず関係他社に対してあたかも自社が攻撃を仕掛けているかのような誤解を招く可能性があり、ビジネス上重要なパートナーや顧客との関係の信頼関係の損失につながる可能性があります。iPhoneにおいてもマルウェアの初期インストール手口としてAndroidと同様、SMSを使い不正サイトに誘導し、そこからマルウェアをダウンロードさせる手口を確認しています。こちらも社員に対する攻撃手口の情報共有など一定のリテラシー向上が必要となります。
脆弱性を突いた攻撃のリスク
前章でも挙げたiPhone向けの攻撃ツールはiOS 13.5.1または13.7などに含まれる脆弱性を突いたエクスプロイトであり、モバイル端末に対する秘密裏の監視が実行されるものでした。セキュリティ上堅牢なiPhoneであってもITシステムである以上、脆弱性が発見される可能性は0ではありません。脆弱性を突いた攻撃の場合、ユーザ側で不審な動作を行っていなくとも攻撃されてしまう可能性があるため、情報漏洩やマルウェアなどほかのリスクにも結びつきやすい側面があります。
フィッシングや不正サイトへアクセスするリスク
マルウェアへの感染リスクとしても説明した通り、SMSなどのメッセージからフィッシングサイトや不正サイトに誘導され、マルウェアをインストールさせられるケースを確認しています。それ以外にもスマートフォンを対象としたフィッシング詐欺も多数発生しており、宅配業者や銀行を騙ったメッセージを起点として、入力した情報を窃取されるケースがあります。他にもAppleを騙るフィッシングは複数報告されていることから、iPhoneを業務で使用している組織ではより注意が必要です。フィッシングはクレジットカード情報等でなくとも、組織で使用しているアカウントなどの情報を盗み取られた場合、クラウド上の情報資産を狙われたり、社内ネットワークへのVPN接続が実行されたりといったリスクにつながりかねません。
端末の窃盗や踏み台によるなりすまし攻撃のリスク
端末自体を盗み取られることにより、自社を装って他社や顧客に電話をかけたりメールを送ることが可能になります。また、端末自体は盗まれなくともマルウェアに感染させられ、制御権を奪われるような場合も同様です。このリスクは情報漏洩リスクとも密接に結びついていますが、システム上は正規のアカウントとして認識されるという点が厄介です。従業員が窃盗や乗っ取りに気づいていない場合、正当な権限でもって様々な情報にアクセスができてしまうため、誰にも疑われることなく不正な活動が繰り広げられることとなります。
| リスク | 組織的対策 | 技術的対策 |
|---|---|---|
| 情報漏洩 | ・紛失時の手続きを整備する ・不要な情報の持ち出し、外部送出、紛失などに対し罰則を設定する ・画面保護シール等を配布し盗み見を予防する ・個人情報保護に関する研修を実施する |
・MDM(モバイルデバイス管理)サービスやソフトウェアを導入し、遠隔での防御を可能としておく ・DLP (Data Loss Prevention)機能で重要情報を保護する |
| 業務外利用 | ・利用範囲に関する規定を整備する ・不適切な利用に関する罰則を設定する |
・MDM(モバイルデバイス管理)サービスやソフトウェアを導入し、機能制限を行う |
| マルウェアへの感染 | ・新規のアプリをインストールする際の規定や申請手順を定める | ・スマートフォン向けセキュリティアプリを導入し、自動でマルウェアの検出と排除ができるようにしておく ・MDM(モバイルデバイス管理)サービスやソフトウェアを導入し、機能制限を行う |
| 脆弱性を突いた攻撃 | ・修正プログラムの適用についてシステム部門などから連絡を受けた場合、早急に適用する | ・緊急度の高い脆弱性には早急なOSのバージョンアップを行う ・MDM(モバイルデバイス管理)サービスやソフトウェアを導入し、OSのバージョンを監視する。必要に応じて利用者への通知、強制アップデートなどを行う |
| フィッシングや不正サイトへアクセスする | ・フィッシングメール事例などを含めた研修やメール訓練を行う | ・スマートフォン向けセキュリティアプリを導入し、不正サイトへのアクセスを制御する ・メールやメッセージ対策のセキュリティソフトを導入し、不審なメールをブロックする |
| 端末の窃盗や踏み台によるなりすまし攻撃 | ・紛失時の手続きを整備する ・個人情報保護に関する研修を実施する |
・全ての端末で画面ロック機能を有効にする ・スマートフォンに多要素認証を導入し、単一の端末や認証情報だけでは使用できないようにする ・MDM(モバイルデバイス管理)サービスやソフトウェアを導入し、遠隔での防御を可能としておく |
表:組織でのiPhone利用時のリスクに対応する対策例
ここに記載した対策はあくまでも例であり、これ以外にも複数の対策が存在することをご留意ください。
iPhoneを使用するのが人間である以上、法人組織でのiPhone使用時のリスクは利用者個人のリテラシーにも大いに依存します。特定の対策で全てのリスクを回避することは難しいため、それぞれのリスクに対して技術面でも組織面でも様々な対策を並行して行い、少しずつでもリスクを低減していくことが重要です。
場所を選ばず、会議に出席できるようになることや、訪問した客先でも社内の機密情報を参照できるなど、スマートフォンを業務利用することによって得られるメリットは、すでに多くの企業において不可欠なものとなっています。
一方でセキュリティ担当者はこれらの端末によって機密情報が外部に露出しやすい状況にあることを理解し、様々なリスクが存在することを認識した上で、適切な対策と運用を継続して行っていく必要があるでしょう。
Security GO新着記事
国内でも活発化するDDoS攻撃の事例を解説~攻撃者の目的や対策は?~
(2024年12月20日)
AIガバナンスの動向は?各国のAI法規制を概観
(2024年12月20日)
サイバー攻撃でよく悪用される正規ツールとは?
(2024年12月19日)
