モバイルアプリの脅威に対処せよ

次の記事

Lucidの電気自動車Airの冬季テストのビデオを見ると、雪って最高だねと思ってしまう

【編集部注】著者のRobbie ForkishAppthorityの技術担当副社長である。

好みのアプリを無料で入手する。引き換えに迷惑な広告の表示を受け入れる。これは公平な取引のように思える。

しかし引き換えにしているのは、広告の表示が全てではない。実際には、この取引は相当量の個人情報を引き渡しているのだ。あなたの居る場所、オンライン履歴、連絡先、スケジュール、あなたのアイデンティティ、その他…モバイルアプリは、膨大な量の個人データを収集している。そして、そうしたすべてのデータがモバイル広告ネットの中で瞬時に共有されている。どのような人にでも、その場所とタイミングに合わせて、最も適した広告を表示できるようにするためだ。

ということで、「トレードオフ」は実はアプリの広告ではない。アプリによる厚かましいモバイル監視なのだ。無料で広告付きのモバイルアプリを承認することによって、継続的かつ包括的な個人情報監視をもたらす経済モデルに同意したことになる。それはアル・ゴアがストーカー経済という名で正確に特徴付けたものだ。

なぜ私たちの個人的所在や行動データが、マーケティング担当者によって切望されるのだろうか?なぜなら消費者としての私たちは、スマートフォンを何処に行くにも持ち歩いていて、恒常的に様々な種類の情報を撒き散らしているからだ。もし広告主たちが、私たちが誰で、私たちが何をしているのかを知ることができれば、もっと効果的な広告を配信することが可能になる。これは近接マーケティング(proximity marketing)と呼ばれるものだ。例えばRite Aid(米国の薬局チェーン)の店内通路を歩いていると「マウスウォッシュが今なら10%引き」という広告を電話機に送りつけてくるのが、そうしたものの1つだ。

まあこの程度なら迷惑には感じるものの、実害があるようには思えない。しかし、実際には見えないところで様々なことが行われている。例えば、大手小売店なら、あるティーンエイジャーの行動、検索、そして購買データを単純に相関付けるだけで、両親が気が付くより早く彼女の妊娠に気が付くことができるようなシステムを構築できる。そうすればその小売業者は、DMまたは電子メールを介して、あるいは彼女がPOS端末に近近付いた時に携帯電話にメッセージを入れることができるというわけだ。こうした私たちのプライバシーへの立ち入りを無くすことは(もし可能だとしても)容易ではない。アプリ開発者と広告主に対する経済的インセンティブが大きすぎるためだ。

不正侵入されたスマートフォンは、対象の従業員だけではなく、会社全体に対して脅威を与える。

まあ、こうした消費者への監視が、侵入的で不気味なものであることには合意できるだろう。しかし、それが企業のセキュリティを、どのように脅かすのだろうか?単純だ。パーソナルモバイル機器がビジネスの世界に浸透するにつれて、そうした機器からの漏洩が、企業のハッキング、業務データの盗難、重大なサイバー攻撃への扉を開いている。

例えば、ある会社が、その従業員たちに会社のカレンダーと電子メールのアカウントを個人のモバイルデバイスに同期させていたとすれば、そこにはあらゆるリスクが発生する。従業員たちの電話機が一斉に、組織全員の連絡先情報にアクセスできるようになるのだ。また、従業員たちの連絡先やカレンダーへのアクセスを要求する別のモバイルアプリは、企業の他の従業員の名前や肩書にアクセスしたり、全てのプライベートなカンファレンスコールのダイアルインコードにアクセスすることができる。こうした情報は、スピアフィッシング攻撃(特定対象を狙ったフィッシング攻撃)のために、悪質なアプリやハッカーによって、簡単に活用されてしまう。

さらに悪いことに、多くのアプリがそのユーザー情報を広告ネットワークと共有し、そのデータを他のネットワークのものと組み合わせている。このためデータが正確に何処へ流れていくのかを知ることはできず、そのデータにアクセスする数多くの組織によって、果たしてセキュアな方法で扱われているのかも不明なのだ。こうした共有が意味することは、悪意あるハッカーが、ある企業を攻撃するためには、特定の従業員の電話を直接アクセスする必要すらないということなのだ。彼は、何百万人ものユーザーの情報を持っている広告ネットワークをハックして、そこから始めることができる。

盗まれた情報はまた、水飲み場型攻撃(watering-hole)を介して企業の攻撃に利用することができる。例えば、ある企業の小さな幹部グループが、地元のレストランで定期的に昼食を持っているとしよう。彼らのジオロケーションデータへのアクセスが可能な攻撃者なら、この事実を容易に知ることができる。攻撃者にとって、この幹部のうちの誰かがランチの前にレストランのウェブサイトにアクセスして、メニューをみたり予約したりするだろうと想像することは容易だ。防御が厳しくないサイトにマルウェアを配置することにより、攻撃者は、1人または複数人の企業幹部のオフィスのコンピュータあるいはモバイル機器に不正侵入することができる。そしてそこが侵入の起点となるのだ。

不正侵入されたスマートフォンは、対象の従業員だけではなく、会社全体に対して脅威を与える。仕事とそれ以外の従業員のアクティビティに関する情報が、会社の電子メール、そしてドキュメントや機密情報と組み合わさり、悪意ある者の手に落ちることで、組織に対して壊滅的な影響が生じる可能性がある。

企業は脅威に対抗するために何をすべきか?

まずモバイル環境の可視性を高めるのが第1歩だ。組織は、従業員たちがどのようなアプリを利用しているか、それらのアプリが何をしていて、企業のセキュリティポリシーに合致しているか否かを知る必要がある。例えば、従業員に使用して欲しくない、特に危険なファイル共有アプリは無いだろうか?それは既に利用されてはいないだろうか?もし従業員が仕事に使っているアプリを知らないとしたら、盲目の飛行を行うことで巨大なリスクに晒されているということだ。

企業はその全体的なセキュリティ戦略の一環として、モバイル脅威への対策を含めることが不可欠だ。

第2歩として、モバイル機器利用を管理するポリシーが必要だ。ほとんどの組織は、既にファイアーウォールを管理したり、パートナーとデータを共有する場合などの、他のプラットフォーム向けのポリシーを持っている。モバイルのためにも、こうしたポリシーを作成することが同様に重要だ。例えば、もし従業員が、会社の承認の下に広告入り無料アプリを使っているのなら、従業員に対して、有料バージョンへの切り替えを求めるポリシーを作成する。これによって、完全には排除できなくても、承認されていないデータが広告の形で従業員に送られることを最小化できる。とはいえこれは個人的なプライベートデータの執拗な収集を排除することはできない。

次に、従業員たちに対して、ダウンロードしたアプリの危険性について、組織として教育しなければならない。ユーザーたちがどのアプリをダウンロードすべきかを決定する際に、より良い判断ができるように、ツールとトレーニングで彼らを強化することが最大の関心事だ。例えば、許可を求めるアプリに対しては疑惑の目を向けるように、従業員を導こう。場所や、連絡先、そしてカメラへのアクセスを求めるアプリは沢山存在する。しかし従業員たちが、それらに盲目的に「はい」と言う必要はない。大部分のアプリはその許可を与えなくても正常に動作して、本当に必要となった場合に改めてユーザーへ許可を求めて来る。もしアプリが何故そのアクセスを必要としているかを言わないなら、それは大きな危険信号だ。

最後に、これらの領域の全てが、優れたモバイルセキュリティソリューションで対応することが可能だ。モバイル脅威保護ソリューションを採用しないあらゆる企業は、どのような情報がどこから漏洩しているのかを知ることができず、その環境に存在する危険に対処することができない。だから、従業員のプライバシーと企業のデータを、増え続けるモバイル監視とデータ収集の脅威から守るために、モバイル脅威への保護を全体セキュリティ戦略の一部に含めることが、企業にとって必須の条件となるのだ。

[ 原文へ ]
(翻訳:Sako)