個人所有のスマホやモバイル機器が、業務用途に使われることが、ここに来て、急速に増えてきています。このような管理されていないデバイスは、攻撃者にとって、恰好な標的となっています。モバイルサイバー攻撃は、認証情報を盗む手段として、うねりとなって押し寄せてきています。このブログでは、米国政府機関の実例からモバイルデバイスの業務用途での利用リスクを学び、リモートワークが常態化した今、もう一度モバイルデバイスの業務用途での利用を再検討すること喚起するために作成しました。
般に、政府機関のサイバーセキュリティ対策は万全であると思われるのはないでしょう。しかし、Lookout Software社が発表したばかりの US Government Threat Report(米国政府脅威レポート)の最新データは、直近の2年間で、サイバー犯罪者はモバイルデバイスへの攻撃の準備を整えたにもかかわらず、米政府機関はその対策を整えていないと警告を発しています。これは、米政府機関においても、差し迫った脅威となっています。
2021年通年と2022年前半を対象としたこのレポートによると、米政府機関の職員の8人に1人が少なくとも1回のフィッシング攻撃に見舞われており、攻撃標的としての政府機関が浮き彫りにされています。この問題の1つの要因は、米政府機関の職員が使用しているデバイスが変わってきていることにあります。新型コロナウイルスの蔓延は、ワークスタイルの変化をもたらしました。これは、米政府機関でも同様であり、モバイルデバイスの利用が「許容」されたため、安全でないモバイルデバイスが業務用途に使用されたことによると思われます。
- なにと、2021年では、米連邦政府で利用されたモバイルデバイスの13%が管理下に置かれていないデバイスであったと報じています。また、この割合は、米州政府・地方政府機関では38%にも達していました。
- 2022年のフィッシング被害率を見ると、管理下に置かれていないデバイスでの発生(8.5%)が2.5ポイント、管理下に置かれているデバイス(6%)よりも高かったと指摘しています。
- 2022年において、11台に1台のモバイルデバイス(約9%)がフィッシング攻撃を受けています。
同レポートによると、すべての米国政府機関において、約半数(46%)の攻撃が認証情報の窃取を目的としていました。また、そのうち70%がマルウェアのインストールを試みていました。認証情報についてのこの統計は、極めて憂慮すべき実態です。ユーザーを騙して認証情報を提供させるために必要なのは、1回のユーザーのミスを起こさせるソーシャルエンジニアリング攻撃であることを改めて理解していただきたい。
Lookout社は、米国連邦政府職員の23%が、これまでに誤ってクリックしたことを通知されたにもかかわらず、3つ以上のフィッシングリンクをクリックしてしまったと、リモートワークでのモバイルデバイス利用のリスクを警鐘しています。これは、リモートワークを実施する際のセキュリティ意識向上トレーニング の必要性を明確に示しています。継続的なセキュリティ意識向上トレーニングを実施することで、リモートワークにはユーザー一人ひとりに大きな責任が伴うことを教育していくことが不可欠です。
参考文献:Stu Sjouwerman著 2023年1月6日発信 https://blog.knowbe4.com/increased-mobile-government-cyberattacks
