最近、情報漏えいについて、マスコミなどで報道されることが多い。記憶にある事件をあげてみると、

• 捜査当局から外国人の個人情報が漏えい
• 政府機関から、事件時の映像がファイル共有ソフトを経由して漏えい
• ゲームネットワークに意図的に侵入し、世界最大規模の個人情報が漏えい

などが浮かぶ。これらの情報漏えいの原因やその犯行意図はすべて同じではないが、その影響力は非常に大きなものであった。まずは、情報漏えいのリスクについて考えてみよう。

情報漏えいの多大なリスク

上述した事件は、その内容や規模が非常に大きく、大きな社会問題となった。特に、最後のゲームネットワークは、著名な企業(もしくはその傘下の企業)が運営するもので、合計すると1億件以上の個人情報が、漏えいした。これが、世界最大規模といわれるゆえんでもある。

さて、一般的な企業・団体において、情報漏えいなどが発生するとどのようなリスクが考えられるか。まずは、金銭的な損害が発生し、その補償などがある。また、安全が確保されるまではサービスを再開できず、営業的な損失も発生する。さらにシステムの修繕費用なども必要になる。規模によっては莫大な金額となる可能性がある。そして、何よりも大きなものは、信用の失墜であろう。金銭では代えがたい損失を受けることもありうる。

このように、一度、情報漏えいが発生してしまうと、規模によっては天文学的な損害が発生し、非常にリスキーであることがわかる。しかし、情報漏えい事件は後を絶たない。なぜ、このように頻繁に発生するのであろうか？もちろん、悪意を持った攻撃者は、セキュリティのあまい企業を狙い、日々、暗躍している。しかし、ユーザーの普段の行動もその一因となっていることも否定できない。

そして、リスクの最後に、いったん漏えいした情報は、絶対に回収できず、ほぼ永遠にネットワークのどこかしらに存在し続けることになる(すぐさまアクセス可能かは別であるが)。この点も、情報漏えいの恐ろしい部分であることを忘れないでほしい。

スマートフォンは情報の塊

さて、現在、一般的に使用されているスマートフォンであるが、RAMとして512MB程度を搭載する。一見すると少なくみえるが、スマートフォンでは、外部記憶装置としてSDカードが使用可能であり、8GB〜16GB程度の容量を持つものが一般的である。

SDカードの場合、本体に装着して使用するので、本体と一体化し、ほとんど本体と区別することもないだろう。つまり、GB単位の容量を持っているといえる。マルチメディアデータならば、それなりに容量を必要とするであろう。しかし、一般的な文書データやメールなどでは、相当の分量を保存することができるだろう。それ以外にも、

• メールやメールアドレス
• ブラウザなどに登録されたIDやパスワード
• 閲覧記録
• 位置情報
• 通信記録

など、多くのデータが蓄積される。使用するアプリによっては、これ以外のデータも保存されていく。

たとえば、オンラインショッピングの履歴や決済記録などもありうる。これらがそのまま、情報漏えいの危険性につながるのである。スマートフォンは、携帯性も重要な機能である。持ち運びに負担がかかっては、使い勝手がよくはない。逆にこれが、紛失という可能性を否定できないのである。

これまでの人生で、物をなくしたことがないといえる人はほとんどいないのではないだろうか？
つまり、携帯性＝紛失の可能性もあるということだ。もし、紛失したスマートフォンを、悪意ある者が拾得した場合、まず何をするだろうか？想像してみてほしい。同様のケースとして、盗難もまた十分に考えらえるものである。

つまり、スマートフォンにとって、紛失・盗難というのは、非常に可能性が高く、そこから情報漏えいの可能性があるということだ。

踏み台にされる危険性も

自宅のPC、クラウドのストレージサービス、スマートフォン

上述のように、スマートフォンには、大量の情報が保存されており、紛失や盗難によって、情報漏えいが発生する。もう1つ別の角度から危険性を考えてみたい。

よく「自分は、盗まれても困るようなデータは保存していない」といった人もいる。しかし、メールアドレスもなく、一切無いのだろうか？最近、ウイルス配布で使わる手口で多いものが、SNSなどのユーザーを騙るものだ。友人を装い、メールにウイルスを添付する、もしくはウイルスをダウンロードさせられるようなWebサイトを誘導するものである。従来の手口では、無差別にメール配信することが多かった。

最近では、「知り合い」や「友人」といった関係を使い、受け手の注意力をそぐことを狙っているのである。

スマートフォンを使うユーザーのほとんどは、PCも所有することが多いであろう。さらには、最近、注目を集めているクラウド上のストレージサービスなどで、データを共有することも、ごくあたりまえになっている。

さらに、ビジネス目的で使用している場合、メールアドレスも悪意を持った攻撃者にとって非常に魅力的な情報となる。最近では、標的型攻撃というものがある。これは、特定の企業や関係者を狙う攻撃であるが、一例を紹介しよう。たとえば、上司から、「節電対策について」といった件名で、添付されている「節電スケジュール.doc」といったようなメールが届く。当然ながら、添付された「節電スケジュール.doc」はウイルスで、ダブルクリックで感染するようになっている。上述したSNSの友人を騙る手口に似ているが、

• メールに疑いを持たせない(上司であることを騙る)
• 疑いもなく添付ファイルを開かせる(時事や業務に絡んだ内容に見せかける)

という手口だ。そこで最初に必要になるのが、上司の正しいメールアドレスである。入手したスマートフォンのアドレス帳は、悪意を持った攻撃者には、宝の山なのである。

対策は、カスペルスキーモバイルセキュリティ 9

さて、スマートフォンは、新たなネットライフを生みだす一方で、このような紛失や盗難の危険、そして、ウイルス(別掲の記事)などの脅威が、大きく存在している。これらの脅威に対抗するにはどのようにすればよいか？やはり、専用のセキュリティ対策ソフトである。カスペルスキーモバイルセキュリティ 9は、紛失や盗難などに次のような対策が可能である。

• 紛失、盗難の際にアンドロイド端末をリモートでロックする
• パスワード情報が入ったSMSをアンドロイド端末に送信すると、あらかじめ指定しておいた情報をリモートで削除する
• アンドロイド端末がロックされた場合に画面に表示されるメッセージを事前に設定する
• GPS追跡機能を使って、アンドロイド端末の位置を特定する
• 他人が別のSIMカードを利用して端末を悪用することを防ぐ

さて、まず紛失や盗難といった事態に遭遇した場合、やっておきたいのが、リモートからロックすることだろう。

SMS(ショートメッセージサービス)で"block:暗証番号"を送信すると

メッセージとともに端末がロックされ、端末取得者が中をいじることができなくなる。

もし、業務などで使用している場合には、すみやかにデータを削除することも考慮すべきである。メッセージを事前に設定するのは、もし、拾得した人が持ち主に連絡できるようにするための機能である。

消去する情報は連絡先や通話履歴、カレンダーなどの個人情報が含まれるもののほか、個別にフォルダで指定することができる。重要な情報は特定フォルダに集約させておけば、盗難や紛失時にこのフォルダを遠隔で消去できる。

最後にSIMの差し替えへの対策である。SIMカードは、スマートフォンを識別する固体IDなどが登録されたものだ(これが異なることで、同じスマートフォンでも別のユーザーと識別できる)。これを差し替えることで、他人のスマートフォンを自分の物のように使うことができる。しかし、カスペルスキーモバイルセキュリティ 9ならば、別のSIMカードが差し替えられると、SIM監視機能が新しいSIMカードの電話番号情報を直ちにメールで送信する。これで、不正な使用者を特定できる可能性がある。また、スマートフォンをロックして、操作ができないようにすることもできる。

SIM監視機能を有効にしておけば、SIMが差し替えられた場合にはあらかじめ設定した電話番号やメールアドレスに差し替えた電話番号を通知してくれる。家族や友人のメールアドレスを借りて登録しておけば、誰かが新たなSIMカードを無くした端末に装着した時点で連絡される仕組みだ。

SMSコマンド"find:暗証番号"を使えば、位置情報が登録しておいたメールアドレスに返信される。紛失や盗難された端末がどこにあるのかをGPSを使って追跡することも可能なのだ。

これまでも、ノートPCなどでも紛失・盗難の危険性は存在していたし、情報漏えいも発生していた。しかし、スマートフォンの携帯性はその危険性をさらに大きくさせている。特にビジネスで使う場合には、注意が必要であろう。悪意を持った攻撃者は、ほんの小さなセキュリティの穴も見逃さない。カスペルスキーモバイルセキュリティ 9で万全の対策を講じておきたい。