ストーキングアプリは「違法ではない」？ ゼロトラストモデルで守る、モバイル時代の企業セキュリティ（後編）：スマートフォンはPCよりも安全？（1/3 ページ）

モバイル端末には、過去に発生したインシデントを参考にしたセキュリティ対策がされている。しかし、モバイル特有の弱さを狙った攻撃は高度化を続けている。特に、ストーキングのような監視行為を狙った攻撃でも、監視の仕組みそのものは違法ではないのだという。

[柴佑佳，ITmedia]

　LookoutのCSO（最高戦略責任者）アーロン・カックリル氏は、本稿の前編で「個人の端末を監視する仕組みそのものは、違法ではありません」と説明した。

Lookout CSO アーロン・カックリル氏

　位置情報の送信やWebサイトの閲覧履歴取得といった行動監視は、子供の見守りや過酷な現場で働く従業員の健康管理、顧客満足度を上げるためのパーソナライゼーションサービスでも利用されている。同一の仕組みが、一方では倫理的な目的で、他方では悪意ある目的で使われているのだ。カックリル氏によれば、これはモバイル端末への攻撃ならではの傾向だという。

国家主導で作られた仕組みが個人に悪用されている

　カックリル氏は、PCを狙った攻撃とモバイル端末を狙った攻撃について、「大きく違うのは、攻撃者とターゲットの規模です」と語った。

　「PCが世の中に出始めた頃に攻撃をしていたのは、セキュリティの研究や脆弱性の調査をする人でした。つまり、攻撃のためのリソースを物理的に持たない個人です。PCとインターネットが広く普及し、そこでやりとりされる情報に価値が出てきた頃に、チームや企業といった集団による、組織的な攻撃がされるようになりました。そして、セキュリティの問題が大きく知られるようになって、初めて国家が『PCの監視でスパイ行為ができる』と気付いたのです」（カックリル氏）

PCとモバイルで攻撃者の傾向が異なる

　現在でも、数百万台単位で発生する大規模な攻撃は、PCが対象になる。2017年には、ランサムウェア「WannaCry」が無差別に拡散し、世界中を混乱に陥れた。一方で、モバイル端末に対する攻撃は、特定の、あるいはごく少人数のターゲットを狙って実行される。

　「モバイル端末に対するマルウェアで最初に出回ったのは、国家主導でのスパイや監視行為を目的とするものでした。潤沢なリソースを持つ大きな組織が作った仕組みが普及して、現在は（リソースの限られた）個人の攻撃者に利用されています」（同氏）

　代表的なものがストーカーアプリだ。恋人や配偶者、あるいは全くの他人を狙って行動を追跡する悪質なアプリは、国家主導で作られた監視システムが基になっている。