モバイル通信のセキュリティ対策 米CISAが公表するベストプラクティスを解説
サイバー攻撃は年々高度化が進んでおり、企業は継続的に対策をアップデートする必要があります。近年では、BYODの一般化やリモートワークの普及などを背景とし、モバイル機器を利用して仕事を進めるケースも増えていますが、どのようにセキュリティを確保すればよいのでしょうか。
今回は、米CISAが2024年12月に公表したモバイル通信のセキュリティを確保するためのベストプラクティスを参考とし、企業がモバイル機器に対してどの様にセキュリティ対策を行うべきかを解説します。
CISA「Mobile Communications Best Practice Guidance」の概要
CISAは、米国国土安全保障省の外局であり、サイバーセキュリティに関するリスク低減や普及を国家として推進する組織です。
CISAでは、これまで多くのサイバーセキュリティに関する提言を行っています。2024年12月には「Mobile Communications Best Practice Guidance」としてモバイル通信に関するセキュリティ対策のベストプラクティス集を公開しました。
提言をとりまとめた理由として、CISAは「中国政府が関与するサイバー攻撃により、顧客の通話記録が盗まれ、一部のプライベート通信が侵害されたこと」を背景に挙げています。CISAは提言において、「モバイルデバイスとインターネットサービス間のすべての通信が傍受または操作されるリスクがあると認識するべき」とし、対策の重要性に触れています。す。
本提言は特に政治家や政府機関に勤務する上級職の方を対象として公表されているものの、その内容は職種や役職を問わず参考になるものです。
Mobile Communications Best Practice Guidanceは、大きく「一般的に推奨されるベストプラクティス」「iPhone利用者向けのベストプラクティス」「Android利用者向けのベストプラクティス」という3つの要素で構成されています。
以下では、それぞれの内容をご紹介していきます。
一般的に推奨される8つのベストプラクティス
まずは、モバイル機器の種類を問わず、実施すべきセキュリティ対策のベストプラクティスからご紹介します。
1.メッセージアプリは暗号化通信が採用された製品を利用する
利用するメッセージアプリによっては、十分に通信が暗号化されていなかったり、情報の取り扱いが不十分だったりするリスクがあります。
メッセージアプリを利用する際には、エンドツーエンドの暗号化が保証された製品を利用する必要があります。また、iPhoneとAndroidの両方のオペレーティングシステムと互換性があり、プラットフォーム間でテキストメッセージを相互にやり取りできるメッセージアプリが推奨されます。
アプリの選択においては、メッセージや画像が自動で消去される機能など、プライバシーを強化できる機能が含まれているかもチェックします。また、アプリが収集するデータの範囲についても確認・評価すべきです。
CISAでは、この条件に当てはまる製品の具体例として「Signal」というオープンソースのメッセージアプリを推奨しています。
2.FIDO認証の活用
FIDO(Fast Identity Online)認証は、ハードウェアベースのセキュリティキーやパスキーなどを使用することで、パスワードなどを利用せず認証を行う方式です。FIDO認証を採用することで、フィッシング攻撃やMFAのバイパス手法に対しての防御力を高めることができます。
CISAでは、FIDO認証でも、特にYubicoやGoogleTitanなどセキュリティ強度の高いハードウェアベースのFIDOセキュリティキーを採用すべきとしています。
FIDO認証の採用には一定のコストがかかるものの、MicrosoftやApple、Googleアカウントなど、重要なアカウントにおいてはFIDO認証を採用することが推奨されます。
3.SMSベースの認証を利用しない
提言によれば、SMSによる多要素認証は避けるべきとされています。CISAはその理由として「SMSメッセージは暗号化されておらず、通信プロバイダーのネットワークにアクセスできる攻撃者によって傍受される可能性がある」という点を指摘しています。
また、SMSによる多要素認証はフィッシング攻撃に対して脆弱であり、高リスクの個人アカウントにおいては安全性の高い認証手段とは言えません。
現在、SMSベースの多要素認証は多数のサービスで利用されているため、SMSベースの多要素認証を完全に排除することは現実的でないものの、特に高い役職の方など高リスクの場合は避けるべきとしています。
SMSベースの多要素認証から、前述したフィッシング耐性を持つFIDO認証への移行が推奨されます。
4.パスワード管理ツールの利用
すべてのパスワードを管理するために、パスワード管理ツールを利用すべきとしています。具体的には、AppleパスワードアプリやLastPass、1Password、Googleパスワード マネージャー、Dashlane、Keeper、Proton Passなどのアプリの利用が推奨されています。
これらのツールを利用することで、脆弱なパスワードやパスワードの再利用、漏洩したパスワードが自動的に警告されます。
また、これらのツールではパスワードを自動生成する機能を備えたものもあります。これにより、使いまわしのされていない、強力なパスワードを作成することができます。
5.通信事業者のPINの利用
多くの通信事業者は、携帯電話のアカウントにPINコードを設定する機能を提供しています。PINを設定することで、PINを知っている方のみがアカウントにログインでき、電話番号の移行などの操作を完了できるようになります。
PINの設定により、SIMのスワッピングによるアカウントの窃取を防ぐことができます。SIMスワッピングにより携帯電話のアカウントを盗まれると、前述したSMS認証によりあらゆる多要素認証を突破されてしまうリスクがあるため、注意が必要です。
6.ソフトウェアアップデートの実施
PCデバイスと同じく、モバイル機器においてもソフトウェアの定期的な更新が重要です。モバイル機器のOSとアプリケーションは、定期的に更新しましょう。CISAでは、デバイスが最新であることを確かめるために、週次でのチェックを推奨しています。
また、モバイルデバイスの自動更新を有効にし、OSとアプリケーションのアップデートが適切なタイミングで適用されるようにします。
7.最新のハードウェアの利用
利用するモバイル機器は、最新のハードウェアやバージョンを選ぶことが推奨されます。最新のハードウェアには、強度の高いセキュリティ機能が含まれています。
ソフトウェアの更新だけでは、完全にセキュリティを担保することはできません。最新バージョンのハードウェアを利用することで初めて、ソフトウェアベースでのセキュリティ対策を完全化できます。
8.個人用VPNを利用しない
個人でVPNを使用することは避けるべきです。個人でVPNを利用すると、サイバー攻撃を受けた際にISPのみならず、利用しているVPNプロバイダーにも影響範囲が広がります。
また、無料・有料に関わらず、VPNプロバイダーは十分なセキュリティ対策やプライバシー管理を行っていないケースがあります。
iPhone利用者向けの5つの推奨
次に、iPhone利用者が実施すべきセキュリティ対策のベストプラクティスをご紹介します。
1.ロックダウンモードの利用
iPhoneには、ロックダウンモードと呼ばれる、外部との通信を制限する機能が備わっています。ロックダウンモードを有効化することで、たとえばメッセージアプリで画像以外のファイルを添付できなくなるなど、アプリケーションやWebサイトの利用に制限がかかるようになります、
これにより、万が一端末を乗っ取られた際や、標的型攻撃を受けた際にも、悪意のある攻撃者による攻撃範囲を狭めることができます。
2.iMeesageが自動でSMSとして送信される機能の無効化
iPhoneでは、iMessageが利用できない場合に自動でメッセージをSMSとして送信する機能がありますが、SMSは前述のとおりエンドツーエンドで暗号化されないため、リスクとなります。
自動でSMSとして送信されないように、iPhoneの設定を変更する必要があります。
3.DNSクエリの保護
DNSクエリを保護するために、Cloudflareの「1.1.1.1 Resolver」やGoogleの「8.8.8.8 Resolver」、Quad9の「9.9.9.9 Resolver」など、各プロバイダーが提供するiOS向けDNSリゾルバサービスを利用します。
これらのサービスによりDNSクエリを暗号化し、悪意のある攻撃者による通信傍受や操作を防ぎます。
4.Apple iCloudプライベートリレーの利用
Apple iCloudプライベートリレーは、iPhoneからの通信をリレーサーバー経由とすることで、ユーザーのIPアドレスやSafari上の閲覧履歴を隠ぺいする仕組みです。これを利用することで、通信内容を秘匿化することができます。
なお、Apple iCloudプライベートリレーによる秘匿化の効果は、Safariでの通信のみに限られる点に注意しましょう。
5.アプリに対する許可を最小化
「プライバシーとセキュリティ」の設定において、アプリケーションの権限を精査し、必要な範囲に制限します。
位置情報、カメラ、マイクなど、機密情報へのアクセス権を許可しているアプリケーションを確認し、不要または過剰な権限については取り消します。
Android利用者向けの7つの推奨
最後に、Android利用者が実施すべきセキュリティ対策のベストプラクティスをご紹介します。
1.実績のあるメーカーの端末を利用
Androidでは多様なメーカーがデバイスを提供していますが、セキュリティに実績があり長期的にセキュリティアップデートを行うモデルを優先して選択するべきです。
Androidでは、エンタープライズ向けのデバイスを「Android Enterprise Recommended」として認証しています。使用するモデルがこの認証を受けているかをチェックするとよいでしょう。
2.RCSの利用時はエンドツーエンドでの暗号化を確認
RCS(Rich Communication Services)はAndroidで利用できるメッセージ機能です。RCSの利用は、場合によりエンドツーエンドで暗号化がされないため注意しましょう。
全員がGoogleメッセージアプリを使っている場合のみ、やり取りの内容はエンドツーエンドで暗号化されます。
3. DNSクエリの保護
iPhoneと同様に、CloudflareやGoogleが提供するDNSリゾルバサービスの利用が推奨されます。
4.「常に安全な接続を使用する」の有効化
AndroidデバイスのChromeブラウザを利用する際には、「常に安全な接続を使用する」オプションが有効であることを念のため確認しましょう。この機能はデフォルトで有効になっており、Webサイトの接続においてHTTPSプロトコルを使用するよう設定されています。
「常に安全な接続を使用する」オプションを利用することで、通信の傍受や改ざんの被害を防ぐことができます。
5.セーフブラウジングの有効化
同様に、Androidデバイス上のChromeブラウザで「セーフブラウジングが有効となっていることを確認しましょう。セーフブラウジング機能はデフォルトで有効化されており、危険なサイトへのアクセスや疑わしいファイルのダウンロード時に警告が表示されます。
6.Google Playプロテクトの利用
Google Playプロテクトは、Androidに搭載されているセキュリティツールであり、前述したセーフブラウジング機能の他、定期的にアプリをスキャンする機能が備わっています。
アプリケーションのスキャンにより、端末内の潜在的な脅威を特定できます。
7.アプリに対する許可を最小化
iPhoneと同様に「権限マネージャー」機能でアプリの権限を確認し、不必要または過剰な権限は取り消しましょう。必要でない場合は、位置情報やカメラ、マイクなどの機密性の高い権限へのアクセスをアプリに許可しないことが推奨されます。
まとめ
今回は、米CISAが公表した「Mobile Communications Best Practice Guidance」の内容を踏まえ、モバイル通信のセキュリティ対策に関するベストプラクティスをご紹介しました。
いずれの要素も具体的なものであり、非常に参考になるものです。特にSMS認証におけるリスクは多くの方が認識していなかったのではないでしょうか。
自社でBYOD利用に関するルールを定めたり、モバイル機器の利用ガイドラインを設定したりする際には、本内容が参考になるはずです。詳しくは、以下の原文もご覧ください。
この記事をシェア
