iPhoneウイルスの現状――iOSの安全神話は捨てるべき:萩原栄幸の情報セキュリティ相談室(2/2 ページ)
iOSを搭載したiPhoneなどにおける“安全神話”が崩れつつある。これまでの状況を振り返りながら、今後どうすべきかについて考察してみたい。
iOSのセキュリティ対策をどうするか?
まず対策には、大きく「検知」「被害の特定」「駆除」がある。前述の通り、iOSのソースコードはAppleが独占しているため、「検知」は論理的にほぼできない。これは重要な点で、この基本的なの考えをしっかり覚えておいていただきたい。ただ、ソースコードがApple社外に漏れるとか、OSでのプロセスがブラックボックス化されていても、多数の実証実験の結果からウイルスを仕込むことが論理的には可能という側面もある。
例えるなら、AndroidやWindowsは身長が2メートルを超え、どこにいても目立つことから、攻撃されやすい。そのための“鎧”や“兜”が山のようにある。一方、iOSの身長は普通かもしれないが、少なくとも鎧や兜はない状態だ。ナイフで刺されたら、Windowsは多数のウイルス対策ソフトという鎧や兜、防弾チョッキで守れるので、致命傷にはなりにくい。しかし、iOSは防御の術がないので、そのまま刺されてしまう。だから、iOSにおける最も効果的な防御は「ナイフ(=ウイルス)に近づかないこと」が現実的であり、対策内容のほとんどを占めるということだ。
後述するが、iOSにおけるセキュリティ対策ソフトは、根本的にウイルス自体を無効化し、駆除するものではない。だが、セキュリティの壁を高くするという効果は期待できる。それぞれの利用環境に応じて実装し、以下のことを心掛けていただきたい。
- 怪しいWebサイトには行かない
- メールのリンクをクリックしたり、添付ファイルを開いたりしない
- アプリのダウンロードは相当に注意する
- PCとの接続に気をつける
- インターネット閲覧のWebブラウザは安全なものに
- 最新のサイバー攻撃動向を知る
- 公衆Wi-Fiや無料Wi-Fiはできるだけ「暗号化+VPN」で利用する
いくつか解説すると、(2)に関してよくネットの記事には「怪しいメール」という表現が見られる。現実的には「怪しい」「怪しくない」というジャンルに意味はない。全てのメールについて、例えば、知人や仕事の関係者なら必ず電話などで本人からのメールかどうかを確認して、添付ファイルを開くぐらいの用心さがほしい。ウイルスに感染しても、本人が気付くことは、まずあり得ない。
(3)のアプリダウンロードは最も危険な部分だ。App Store以外でのアプリの購入やダウンロードは絶対にしない。App Storeからの購入でも作成者の身元を確認するくらいのことはしてほしい。(4)はiOSのウイルス被害がPCからの感染によるケースが多いためだ。PCが先にウイルス感染し、そのPCにつないだiPhoneにも広がる恐れがある。
(5)のWebブラウザはiOS向けでは有名でも無料で使えるものが多く、いくつかの選択肢があるのはうれしい点だ。ただ、Chromeなどはデフォルト設定ではセキュリティの壁が低いため、カスタマイズする必要がある。セキュリティの壁は高くしておいた方が望ましい。
(6)は、情報のアンテナは常に高くして最新情報を入手し、新型の攻撃が急増したなら、その動向を注視して、他に挙げているようなウイルス感染から身を守る術を徹底してほしいということだ。
最後の(7)における暗号化では「WPA2」の利用をお勧めする。WEPなど古いものは、短時間で通信内容を解読されてしまう。VPNは単体アプリで販売も行われ、無料のものもある。利用条件や制約をよく確認して利用を検討してほしい。
iOSのセキュリティ対策ソフト
有名、無名を含めてさまざまものがあるので詳しくは言及しないが、メジャーなものでは「ウイルスバスター モバイル」(トレンドマイクロ)、「マカフィー モバイルセキュリティ」(インテル セキュリティ)、「ノートン モバイルセキュリティ」(シマンテック)などが挙げられる。
先ほども述べたが、iOS向けのセキュリティ対策ソフトは、WindowsなどのPC向けのウイルス対策ソフトとは大きく違い、ウイルスを根本的に駆除するものではないことを理解しておいてほしい。しかし、こうしたソフトを利用してセキュリティの壁を少しでも高くしておくことは、有効な対策手段となる。
ここまでがiOSを取り巻く現状ではあるが、筆者としては、例えばWindows並みとはいかなくても根本的なウイルス駆除が可能になるように、状況は良い方に向かうことを願っている。利用者が安心・安全にネットを利用できることが早く実現してほしいと思う。
萩原栄幸
日本セキュリティ・マネジメント学会常任理事、「先端技術・情報犯罪とセキュリティ研究会」主査。社団法人コンピュータソフトウェア著作権協会技術顧問、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少(当時)で合格。2008年6月まで三菱東京UFJ銀行に勤務、実験室「テクノ巣」の責任者を務める。
組織内部犯罪やネット犯罪、コンプライアンス、情報セキュリティ、クラウド、スマホ、BYODなどをテーマに講演、執筆、コンサルティングと幅広く活躍中。「個人情報はこうして盗まれる」(KK ベストセラーズ)や「デジタル・フォレンジック辞典」(日科技連出版)など著書多数。
関連記事
- 忘れたデータが山盛り――中古PCからの情報漏えい
PCに保存したデータを「消した」と思っても実際には消えていない。中古で売買されるPCには残されたデータ情報が山盛りだ。ユーザーの認知が広まりつつあるとはいえ、今一度中古PCに潜む危険を再確認してみよう。 - デジタル・フォレンジックにおけるデータの完全消去と復元の「微妙な関係」
サイバー事件捜査に使われる「デジタル・フォレンジック」を解説する3回目は、データの消去と復元を取り巻く現実について取り上げてみたい。後半では企業でのHDD廃棄の問題についても触れる。 - 初期化しても消えません――繰り返されるデータ消去の落とし穴
メモリカードやHDDを初期化しても実際のデータは消えない。この点を最近の若い世代は意外と知らないようだ。近年人気のSSDでのデータ消去も含めて解説したい。 - 今の環境にふさわしい「暗号化」をしたいのですが、何を考慮すべきですか?
大切なデータを守りたいので、とにかく暗号化したい――そうした考えでは対策が失敗してしまうかもしれない。どのように「暗号化する」のが良いのだろうか。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.