モバイルマルウェアとは

モバイルマルウェアの定義

モバイルマルウェアとは、スマートフォンやタブレットなどのモバイルデバイスを標的にするために専用に設計された悪意のあるソフトウェアのことで、個人データにアクセスすることを目的としています。

モバイルマルウェアは、従来のワークステーションを攻撃するマルウェアほど蔓延していませんが、その脅威は高まっています。この理由は、多くの企業で従業員に対して個人所有デバイスから企業ネットワークへのアクセスを許可しており、未知の脅威を企業の環境内にもたらす恐れがあるためです。

近年、Androidのモバイルセキュリティ問題が数多く確認されていますが、Appleもモバイルデータセキュリティやマルウェアからの影響を免れていません。

モバイルマルウェアの種類

サイバー犯罪者は、さまざまな戦術を駆使してモバイルデバイスを感染させます。モバイルマルウェアからの保護を強化することに重点を置いている場合は、モバイルマルウェアのさまざまな脅威について理解することが重要です。以下に、最も一般的なタイプを示します。

• リモートアクセスツール（RAT）は、被害者の感染したデバイスからデータに広範にアクセスできるようにするもので、多くの場合、インテリジェンスの収集に使用されます。RATは通常、インストールされているアプリケーション、通話履歴、アドレス帳、ウェブの閲覧履歴、SMSデータなどの情報にアクセスする可能性があります。また、RATをSMSメッセージの送信、デバイスのカメラの有効化、GPSデータログの記録に使用する場合もあります。
• バンキング型トロイの木馬は、一般に、正規のアプリケーションを装い、モバイルデバイスから銀行業務（振込や支払い）を実行するユーザーを侵害しようとします。このタイプのトロイの木馬は、金融機関へのログイン情報やパスワードを盗むことを目的としています。
• ランサムウェアは、マルウェアの一種であり、ユーザーのデバイスをロックして使用できないようにし、「身代金」（通常は、追跡不可能なビットコイン）の支払いを要求します。被害者がこの身代金を支払うと、ロックを解除するアクセスコードがユーザーに提供され、モバイルデバイスを使用できるようになります。
• クリプトマイニングマルウェアを使用すると、攻撃者は被害者のデバイスで密かに計算を実行し、仮想通貨を生成することができます。クリプトマイニングは、多くの場合、合法的に見えるアプリに隠されているトロイの木馬コードから実行されます。
• 広告クリック詐欺は、マルウェアの一種です。このマルウェアを使用すると、攻撃者はデバイスを乗っ取り、偽の広告をクリックすることで収益を生み出すことができます。

モバイルマルウェアの拡散方法

従業員が個人用デバイスを仕事に使用すると、保護されていないエンドポイントが企業環境内に生成されます。従業員自身のデバイスを使用することで、コストが削減し、効率性と有効性を高められますが、一方で企業ネットワークとそこに保存されているデータに対するセキュリティ上の懸念が生じます。個人用デバイスから一度でも侵害されると、感染が広範囲に広がり、壊滅的で大規模なデータ喪失につながる恐れがあります。

攻撃者がその悪意あるコードを拡散する一般的な方法はいくつかあります。

1. モバイルフィッシングとスプーフィング

フィッシングは、一般的にスプーフィング（なりすまし）を利用してユーザーをだまし、貴重なアカウントや個人情報を提供させる方法です。スプーフィングは、電子通信やウェブサイトを被害者が信頼している実在者に見せかける手法です。多くの場合、スプーフィングとフィッシングは密接に関連していますが、スプーフィングはアカウント情報のフィッシングだけでなくさらに不正な目的のために使用されます。例えば、なりすましのEメールは、受信者に悪意のある要素をクリックさせようとします。

フィッシングは、これまでEメールから認証情報を取得することに重点を置いていましたが、SMSメッセージ（スミッシング）やメッセージングアプリを介したフィッシングが広く普及しています。実際、57%の組織が、特にモバイルフィッシング攻撃を経験しています。この事実は、モバイルデバイスで疑わしいリンクをクリックする可能性がデスクトップの場合よりも18倍高いと考えると、それほど驚くことではありません。

被害者をだましてマルウェアをインストールさせる一般的な方法の1つは、攻撃者が管理しているウェブサイトでホストされているAndroidパッケージ（APK）ファイルにSMSスプーフィングを介して被害者にリンクを送信する方法です。例えば、被害者は、本物に見えるよう設計された偽の銀行サイトへのSMSリンクをクリックして「銀行アプリを更新」するように求められる可能性があります。更新すると、悪意のあるコードがインストールされ、それにより攻撃者は認証情報にアクセスして収集できるようになります。

2. ジェイルブレイク/ルート化デバイス

デバイスをルート化またはジェイルブレイクすれば、内部の保護機能をバイパスして、オペレーティングシステムを無制限に制御できることになります。スマートフォンのジェイルブレイクは、通常、オペレーティングシステムシステムで認証されていないサードパーティアプリをダウンロードしたり、デフォルトの保護機能では許可されていないスマートフォンのカスタマイズを実行したりする場合に行われます。

ジェイルブレイクやルート化を行うと、制限なくカスタマイズできますが、デバイスが悪意のある攻撃を受けるリスクも大幅に高まります。個人所有デバイスの持ち込み（BYOD：Bring Your Own Device）環境で運営している組織の場合、従業員のジェイルブレイクデバイスやルート化デバイスにより、ネットワークが知らぬ間に侵害されていることがあります。

基本的なデフォルトの保護機能を欠いた、たった1台のジェイルブレイク/ルート化デバイスの使用が、アカウントの認証情報を取得したり、企業の機密データを傍受したり、マルウェアが侵入できるようにネットワークを開放したりするためのきっかけを攻撃者に与えることになります。

拡散方法の可視化が重要

モバイルマルウェアからネットワークを保護する機能は、前述の拡散方法を可視化できるかどうかに大きく依存しています。ジェイルブレイクデバイスやルート化デバイスを検知し、モバイルフィッシング試行の被害を受けているデバイスを特定した場合は、攻撃者がモバイルマルウェアを拡散する機会を食い止めるうえで非常に高い効果が得られます。

クラウドストライクの新しいFalcon for Mobile™は、モバイルのエンドポイントセキュリティに可視化を優先したアプローチを採用することで、組織に潜在的なモバイル脅威に関する詳細なインサイトを提供します。Falcon for Mobileは、IPアドレス、デバイス設定、Wi-Fi接続、Bluetooth接続、およびオペレーティングシステム情報をリアルタイムに可視化する、強化されたモバイルデバイスアクティビティ監視機能を提供します。

次のビデオで、Falcon for Mobileの機能の概要をご覧ください。

新しいFalcon for Mobileエンドポイントでの検知と対応ソリューションの詳細については、以下のリソースにアクセスしてください。

Falcon for Mobileのページ Falcon for Mobileデータシート