:::::
Davey Winder
Contributor
著者フォロー
I report and analyse breaking cybersecurity and privacy stories
:::::
米国家安全保障局(NSA)が米国人のスマホを監視しているのではないかと懸念している人もいるが、NSAはゼロクリック攻撃(訳注:ユーザーが「一度もクリックせずとも」被害に遭遇する可能性がある攻撃手法)などを心配するiPhoneとAndroidのユーザーに向けて、「1週間に一度、電源をオフにしてから再びオンにしよう」という賢明なアドバイスを送っている。
あなたはどのくらいの頻度で、スマホの電源をオフにしているだろうか? これは待ち受け状態にするのではなく、完全に電源を切ってから再起動するということだ。
あなたはどのくらいの頻度で、スマホの電源をオフにしているだろうか? これは待ち受け状態にするのではなく、完全に電源を切ってから再起動するということだ。
OSのアップデートなどが必要になったときだけという人も多いのではないだろうか。
NSAによるとそれは大きな間違いである可能性がある。
<>NSAが推奨するベストプラクティス
NSAは、モバイル機器のベストプラクティスを詳細に説明した資料の中で、ゼロクリック攻撃を防御するために、毎週1回は再起動を行うことを推奨している。
ユーザーは、マルウェアやスパイウェアをインストールされることにつながる「スピアフィッシング」と呼ばれる詐欺行為による脅威も、この簡単な操作によって軽減できる。
ユーザーは、マルウェアやスパイウェアをインストールされることにつながる「スピアフィッシング」と呼ばれる詐欺行為による脅威も、この簡単な操作によって軽減できる。
ただし、この再起動によって攻撃を防ぐことができるのは「時々」だとNSAは警告している。
「モバイル機器に対する脅威はより広く行き渡るようになり、対象範囲も複雑さも増している」とNSAは説明し、スマートフォンの一部の機能は「便利さと機能を提供する代わりに安全を犠牲にしている」と警告した。
つまり、自分のデバイスとデータの安全性に関して事前に対策することに関して言うなら、何かした方が、何もしないより絶対に良いということだ。
注意しなければならないのは、このアドバイスは、セキュリティ上の問題をすべて解決する特効薬ではない、ということだ。
実際、NSAの文書には、各戦術がさまざまな脅威に対してどの程度効果的かを示した表が含まれている。
一般的なアドバイスとしては良いが、再起動時に再読み込みするようにプログラムされた、より高度なマルウェアやスパイウェアの脅威の多くに対しては、電源を切って入れ直したところで何の役にも立たないだろう。
<>便利さと安全性のバランス
NSAはまた、スマートフォンのユーザーに対し、使用していないときはBluetoothを無効にすること、OSやアプリケーションのアップデートが利用可能になったらできるだけ早く端末をアップデートすること、不要なときは位置情報サービスを無効にすることを勧めている。
すでにお分かりのように、こうしたアドバイスの多くには「利便性よりもセキュリティ」という趣旨がある。
公共のWi-Fiネットワークは使わない、公共の充電ステーションは使わないなどの対策は、多くのセキュリティ専門家が実際には効果が薄いと考えており、多くのユーザーもそうした行為を止めはしないだろう。
公共のWi-Fiに関しては、存在し得るリスクと実際に個人が危険にさらされることとの間に違いがある。
犯罪者が安全でないネットワークを悪意のある目的のために利用することは可能だが、これは通常、鉄道会社や空港、コーヒーショップが提供するWi-Fiホットスポットを使うということではなく、ユーザーを騙して自分のWi-Fiホットスポットに接続させることを伴う。
SSID混乱攻撃(SSID confusion attack)と呼ばれる脆弱性は、これがどのように機能するかを示す良い例だ。
この攻撃は、特定の状況下でVPNを無効にし、実際にはセキュアなネットワークに接続していないのに、あたかも接続しているように見せることができる。しかし、繰り返しになるが、ほとんどの保護されていない公衆WiFiネットワークは、一般的な活動に使う分には安全だ。
英国の国家サイバーセキュリティセンター(NCSC)は、モバイルの4Gまたは5Gネットワークを使うことを勧めているが、これは例えばオンライン・バンキングなどの機密性の高い活動を行う際には理にかなっている。
Reddit(レディット)には、さらに詳細な情報を得るために事実を掘り下げた素晴らしいスレッドがある。
とはいえ、私は電源のオン・オフを繰り返すというアドバイスには心から同意する。
実際、そうするには数分しかかからないのだから、
就寝前の日課として毎日再起動する習慣を身につけることをお勧めする。
NSAはまた、「強力な 」ロック画面の暗証番号とパスワードを使用すべきであるとし、スマートフォンが10回間違えると自動的に消去され、5分間入力がないと自動的にロックされるような設定では、最低6桁の暗証番号を使用することを勧めている。
サイバーセキュリティ関連企業、サイバーナットのオリバー・ペイジCEOは、「パスワード・マネージャーを使って、アカウントごとに強力でユニークなパスワードを作成」し、よく使われるフレーズや辞書的な単語、複数のアカウントにまたがるパスワードの再利用を避けるべきだと述べている。
NSAはさらに、送信者が合法的に見える場合でも、電子メールの添付ファイルやリンクを開くことは避けるよう警告している。
「電子メールの送信者アドレスを確認し、ウェブサイトのURLを確認し、電子メールの内容に細工の痕跡がないか精査することで、フィッシングかどうかを見分ける方法を学ぶべきだ」と、ペイジは言う。
機密性の高い会話やメッセージングに関しては、たとえその内容が一般的なものであったとしても、NSAは個人所有のデバイスでこれらを行わないよう警告している。
私たちの多くがスマートフォンをそのために使っていることを考えると、これは控えめに言っても少し制限的すぎる。
しかし、迷惑メールやメッセージに返信するといったソーシャル・エンジニアリングの手口に引っかかるとなると、話はまったく別だ。
「機密情報を要求する迷惑メールに返信するようなソーシャル・エンジニアリングの手口に引っかかると、アカウントの漏洩や個人情報の盗難につながる可能性があります。
このようなフィッシングの試みは、多くの場合、合法的な団体を模倣し、個人を騙して機密情報を漏らすように仕向けます」とペイジは言い、「確認なしに電話やメッセージを信用すると、詐欺師が被害者を操って機密情報を開示させたり、セキュリティを脅かす行動を取らせたりするため、深刻な結果につながる可能性があります」と付け加えている。
<>米連邦通信委員会による助言
米国政府の独立機関である連邦通信委員会(FCC)も、スマートフォンユーザーに適切なセキュリティに関するアドバイスを提供している。
異なる政府機関や法執行機関が提供するアドバイスには重複する部分も多いが、FCCのアドバイスのいくつかはここで言及する価値がある。
例えば、スマートフォンのセキュリティ設定を変更しないことだ。
FCCは、「スマートフォンの工場出荷時の設定をいじったり、脱獄したり、ルート化したりすると、ワイヤレス・サービスやスマートフォンが提供する内蔵のセキュリティ機能が損なわれ」 、「攻撃を受けやすくなる 」と忠告している。
利便性のためにセキュリティ設定を無効にしないという教えには私も同意する。しかし、セキュリティに関するトラブルが実際に身に降りかからない限り、利便性がすべてと考えるほとんどのユーザーはその教えを無視する可能性が高いだろう。
FCCはまた、悪意のあるアプリ開発者は「アプリのアクセス許可」設定を悪用して特定のセキュリティ機能をバイパスすることがあるため、その設定について理解を深めることが重要であると警告している。
幸いなことに、最新のオペレーティング・システム(OS)は、このようなアクセス許可の透明性をこれまで以上に高めているが、それでも警戒は必要である。
「スマートフォン上の個人情報へのアクセスをアプリケーションに許可したり、アプリケーションにスマートフォンの機能を実行させたりすることには注意が必要だ」とFCCは述べている。
OSの進化に伴い、さらに簡単になったもうひとつの対策は、盗難や紛失したスマートフォンから遠隔操作でデータを消去するというものだ。
ただ、最悪の事態が発生した場合に備え、この設定を事前に行っておく必要がある。
FCCのガイダンスによると、「スマートフォンを置き忘れた場合、いくつかのアプリケーションは、スマートフォンがサイレントモードになっていても、大音量のアラームを作動させることができる。このようなアプリは、紛失時にスマートフォンの場所を特定し、回収するのにも役立つ」という。
そして最後に私から一言。
そして最後に私から一言。
スマートフォンを売却またはその他の方法で処分する前には、必ずデバイスからデータを消去し、工場出荷時の設定にリセットすることを忘れないようにしよう。
(forbes.com 原文)
(forbes.com 原文)
※コメント投稿者のブログIDはブログ作成者のみに通知されます