スマホを盗聴から守るためにやっておきたい“8つの約束事”：Cybersecurity Dive

CISAは「iOS」や「Android」をOSとして備えたデバイスのユーザー向けに、通信の傍受や改ざんを防ぐための8つのベストプラクティスを発表した。あなたはいくつ実施できているだろうか。

[Matt Kapko，Cybersecurity Dive]

　米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、米国の通信ネットワークに対する大規模な侵害を受け、政府関係者や政治家に対して、通信の傍受や改ざんから保護するために、自分の携帯電話の設定を徹底的に確認するよう助言した（注1）。

スマホを盗聴から守るためにやっておきたい“8つの約束事”

　詳細なベストプラクティスとして発表された内容は、脅威グループ「Salt Typhoon」による少なくとも8つの米国の通信企業への活発な侵入に対する（注2）、CISAの最新の対応を表している。当局によると、中国政府が支援する本脅威グループは、既に大量のメタデータを盗み、特定の個人のプライベートな通信を侵害したという（注3）。

　CISAによると、モバイルセキュリティに関する推奨事項は、原則として技術的な知識を持つ人に向けたものだが、それらの事項は全ての人に適用可能だという。複雑な手順は、連邦当局が通信ネットワークのセキュリティの構造的な完全性を信頼していないことを認めるものでもある。

　CISAでサイバーセキュリティを担当するジェフ・グリーン氏（エグゼクティブアシスタントディレクター）は、2024年12月18日（現地時間）に実施されたメディアブリーフィングで次のように述べた。

　「設計段階から安全なデバイスおよびソフトウェアを手に入れるまでは、私たち全員がセキュリティを自己管理する必要がある。将来、個人が自らのセキュリティを気にしなくて済む状況は訪れないと考えている。これは私たちが通りを歩く際に、周囲を警戒するのと同じことだ」（グリーン氏）

　CISAが推奨する非常措置は、米国の（電力やガス、鉄道、空港などの）重要インフラに対する広範な攻撃について、当局が有する大規模な警戒と懸念を示すものである。

　当局は、被害の全容を把握するために依然として奔走している。さらに悪いことに、攻撃者はネットワーク内に今も潜んでおり、任意のタイミングで大規模な混乱を引き起こす可能性がある。

　CISAのガイダンスには、「iOS」や「Android」をOSとして備えたデバイス向けの具体的な推奨事項と、モバイル通信に広く適用されるベストプラクティスが含まれており、以下の対応が求められている。

1. 「Signal」などの端末間で暗号化されたメッセージングおよび通信アプリを専用で使用すること
2. 実行可能な場合はハードウェアベースのFIDO認証型のセキュリティキーを含む、フィッシングに強い高速オンライン認証を有効にするか、代替手段としてFIDO認証型のパスキーを使用すること
3. 多要素認証のプロセスにおいて、テキストメッセージやショートメッセージサービスなどのシンプルな手段を使用するのをやめること。SMSは暗号化されておらず、フィッシング攻撃に対して脆弱（ぜいじゃく）である
4. 全てのパスワードをパスワードマネジャーに保存し、主要なパスワードは強力なパスフレーズで保護すること
5. 通信事業者のアカウントに、個人識別番号（PIN）を設定すること
6. 週に一度のチェックを実施するか、自動更新を有効にして、ソフトウェアを頻繁に更新し、デバイスが最新バージョンのOSやその他のアプリケーションを実行していると確認すること
7. お気に入りの携帯電話メーカーが提供する最新バージョンのハードウェアを購入すること
8. 個人用の仮想プライベートネットワーク（VPN）を使用しないこと

　ブリーフィングにおいて、グリーン氏は次のように述べた。

　「全てのリスクを排除する単一の解決策はないが、これらのベストプラクティスの実施により通信の保護が大幅に向上する。私たちは、ターゲットにされやすい個人を含む全ての人に対して、私たちのガイダンスを見直し、必要に応じて適用することを強く推奨する」

（注1）Mobile Communications Best Practice Guidance（CISA）
（注2）At least 8 US companies hit in telecom attack spree, officials say（Cybersecurity Dive）
（注3）Feds raise alarm on China-linked infiltration of telecom networks（Cybersecurity Dive）