セキュリティの
学び場

今回の解説ニュース

スマートフォンなどモバイル端末を狙ったマルウェアが増加しているということです。モバイル端末のセキュリティで気を付けるべきポイントについて説明します。

JPCERT/CCでは現在、多数のモバイル端末のマルウェア感染を確認しているということです。また、モバイル端末を狙った攻撃に使用されている不正なWebサイトの報告件数も、直近で5,000件を超えています。

このような状況を受けて、JPCERT/CCでは、マルウェアへの対応についての質問をまとめて公開しており、不審なSMSの文章の一例や、偽サイトへアクセスした際の画面等も掲載しています。ご覧の皆さんであれば、スマートフォンはお持ちだと思いますので、多くの方にとって参考になる情報となっています。

素朴な疑問、マルウェアに感染するとどうなるのか

マルウェアに感染すると、電話帳やSMSの内容が窃取されたり、フィッシングサイトへ誘導されたりします。

JPCERT/CCのホームページにマルウェアの機能が例として挙げられていますが、マルウェアに感染すると端末内の情報が閲覧されてしまう可能性があります。例えば、SMSの内容が盗聴されてしまうと、二段階認証の情報が窃取されてしまう可能性があります。マルウェアはSMSの送信もできる可能性がありますので、電話帳の内容と組み合わせて別の攻撃に悪用されてしまうかもしれません。

また、マルウェアに感染したスマートフォンをフィッシングサイトへ誘導させることができます。具体的には、オンラインバンキングやクレジットカードのアプリがインストールされていれば、フィッシングサイトを表示することによって、アカウント情報が窃取される可能性があります。

もし、マルウェアに感染しているかどうか不安な場合は、身に覚えのないアプリがインストールされていないかアプリの一覧を確認して、削除することを検討しましょう。

モバイル端末を狙ったマルウェア被害に遭わない為の対策は？

モバイル端末でマルウェアに感染しないための対策は、提供元が不明なアプリや構成プロファイルをインストールしないことです。

マルウェアへの感染はSMSによって誘導される「スミッシング」の利用が多いので、メッセージ中のURLはクリックしないようにしましょう。これは、一般的なフィッシング対策と同様です。

誘い言葉がリアルな「スミッシング」の手口

スミッシングとは、SMSとフィッシングを組み合わせた造語で、メールの代わりに携帯電話のSMSが悪用されるフィッシング詐欺です。スマートフォンが普及したことと、SMSのセキュリティ対策がメールより難しいことから、マルウェアに感染する被害が増加しています。スミッシングは、荷物の不在通知や携帯電話会社のサポートセンターを騙ったSMSが送られてくる場合があります。まず、SMSに記載されたURLにはアクセスせず、仮に再配達などを依頼する場合は、ブックマークなどから確実に公式サイトにアクセスして確認するようにしましょう。

提供元が不明なアプリにも要注意

提供元が不明なアプリはマルウェアである可能性があります。JPCERT/CCのFAQでも、マルウェアに感染しないために、Google PlayやApp Store以外からアプリをインストールするのを控えることが推奨されています。また、最近は構成プロファイルを悪用したマルウェアも確認されています。構成プロファイルはiPhoneの設定を一括して行うことができる便利な機能ですが、その機能が悪用されたことによるマルウェアへの感染が確認されています。

記事をご覧の皆さんも、常日頃スマートフォンを利用する機会が多いと思いますので、今一度お手元にあるスマートフォンの設定を見直してみてはいかがでしょうか。