攻撃のベクトルがiOSに向けられる、モバイル端末の出荷時に混入されるマルウェアが勢いを増す――。モバイル端末向けにセキュリティ機能を提供するルックアウト・ジャパンが2015年をこう予測している。
iOSを対象にした“遠隔操作でアクセスするトロイの木馬(Remote Administration Tool:RATs)”やエクスプロイトは何年も前から存在していたが、iOSのマーケットシェアが大きくなったことで、犯罪者は以前よりも広範囲にiOS端末を標的とし始めているという。
例えば、この11月に発見されたマルウェアの「WireLurker」は、感染したMac OS X端末にUSB経由で接続した、あらゆるiOS端末を監視し、“ジェイルブレイク”の有無に関わらず、別のマルウェアをダウンロードし、端末にインストールさせる。iOSが世界中に流通するのに伴い、iOSユーザーにターゲットを絞った攻撃が特に新興市場で増えるものと同社は予想している。
低コストのAndroidスマートフォンが世界的に大ヒットしたため、攻撃者は、Androidスマートフォンのサプライチェーンをターゲットにして端末の出荷時にマルウェアを混入させ始めるという。同社では2014年、スマートフォンの出荷時に混入されていた2つのマルウェアファミリー「DeathRing」と「MouaBad」を検出した。
これらのマルウェアは端末の「システム」パーティションの一部となっているため、一般のユーザーが削除することはほぼ不可能とし、このようなサプライチェーンでのマルウェア混入は、個人所有端末を機密情報を含む企業ネットワーク内に接続許可している企業にとって特に深刻な問題となるとの見方をしている。
脆弱性のあるモバイルアプリは脆弱性のあるOSよりももっと深刻な問題になるとも予測する。今やモバイルアプリがPCのウェブブラウザに取って代わり、ネットを使用する際の第一のツールとなっている。モバイルOSはここ数年で安全性を高めていきてるが、モバイルアプリを対象とした攻撃は増大している。
モバイルアプリ開発者は競合よりも早く配布しようとするためセキュリティは二の次にされがちで、データを危険にさらすだけでなく脆弱性を含むことがある。例えば、同社は、9万件以上のアプリがAndroidでのJavaScriptの安全でない実装による脆弱性を持つ可能性があると判定した。これら全てにパッチを発行することは不可能という。
同社ではまた、すべての産業がテクノロジ産業になるとの見方を示した。今ある企業はテクノロジ企業に転身するか、革新的な競合他社に敗北してしまうかのどちらかと考えられると説明する。
また、デジタル犯罪が増加するにつれデジタルとフィジカルの区別は必要なくなると表現する。電話を使って誰かをだます犯罪者を“電話犯罪”とは呼ばないのと同様だとしている。
ウイルス対策や振る舞い検知型のセキュリティは有効な手段ではなくなり、モバイルやクラウド分野では今後2年間で予測的セキュリティの手法がさらに広く採用されていくだろうという見立ても明らかにしている。
個人用のモバイル端末が職場に持ち込まれたり、社用モバイル端末が個人的に使用されるようになったりする中で、攻撃者から企業利益を守りながら個人のプライバシーを尊重する企業は、さらに複雑な課題に直面することが増えるとの予想を明らかにしている。同社では、“モノのインターネット(Internet of Things:IoT)”は現在、主流ではないことから、犯罪の標的になるのは3~5年先だろうとみている。