先日「宅ファイル便」より480万件のアカウントや個人情報が漏えいしましたが、個人情報を狙った手口を中心に、被害の実態と対策を考えていきます。
○アプリのアップデート時にスパイウエアが仕込まれた
人気のあったスマホゲーム「Flappy Bird」の開発中止により、「Flappy Doge」「Flappy Birr Dog」というクローン版のアプリが続々と登場しました。
配布当初は無害であったのに、アップデートの際にスパイウエアが仕込まれ、ユーザーの現在地や通話記録などの個人情報を盗み取り、外部サーバーに送信していたことが判明しました。
アップデート時は管理側のチェックが緩いことを悪用した手口です。
また、現在は削除済みですが、Androidのウィルス対策アプリのうち35種類は実際にセキュリティ機能がなく、不要な広告と効果のない疑似セキュリティが提供されるだけのものでした。
アプリのダウンロード時には、正規のアプリストアを利用の上、作成した会社やアプリのレビューを参考し、「電話発信」「個人情報のIDやパスワード」「位置情報」「ネットワーク通信」「SMSメッセージの送信」など多くの権限許可を求められたら不正アプリと疑うようにするくらいでよいでしょう。
○被害の多いSNSの乗っ取りや不正ログイン
2016年に長崎県の男が、長澤まさみさんをはじめとする有名女性芸能人のプライベート写真をのぞき見して逮捕されたニュースでは、公開されている誕生日などからパスワードを推測し、iCloudやFacebookに不正ログインしました。
LINEやツイッターでも「今、時間ありますか」といってプリペイドカードを買わせようとするニュースがいまだに続いていますが、こちらは普段からパスワードを使い回ししている人が狙われやすく、さらに乗っ取られた友人からの誘導でウィルス感染してしまった人など、2次的な影響も広がっています。
各SNSではログイン時のセキュリティを高める手段が用意されていますので、それぞれ設定するようにしてください。
○無料WiFiスポットは「鍵付き」で使用すること
外出時には便利な無料WiFiスポットでは、通信の暗号化を意味する「鍵」マークのあるスポットに接続することがオススメです。
と言いたい所ですが、現在の暗号化の方式の主流である「WPA2」も2017年に脆弱性が発見されてしまいました。そして、WiFiに関する規格を策定するWi-Fi Allianceが2018年6月に新規格「WPA3」を発表しましたが、2019年2月現在ではまだまだ普及はしていません。
つまり「鍵」マークがあるスポットは安全性が高いとは言えますが、絶対ではないので無料WiFi環境では、重要なデータのやりとりはオススメしません。
○シャドーITに注意
今回はどちらかと言うと個人使用のスマホのセキュリティの内容でしたが、従業員が自分のパソコンやスマホを勝手に業務で使用する「シャドーIT」が横行していた場合、個人使用のスマホセキュリティは企業としてのセキュリティに置き換わりますので、今一度従業員のスマホの使用状況を確認するとよいでしょう。
詳しくはこちら。
LINEやSNSからスマホ乗っ取りも!個人情報を狙う悪質手口 | News&Analysis | ダイヤモンド・オンライン