Zimperium CEOが語る これからのモバイルセキュリティ対策【前編】：ゼロデイ攻撃から社用スマホを守る方法

毎週2,000件ものスマートフォン向けマルウェアが発見されている

スマートフォンを狙ったサイバー攻撃は増えているのでしょうか？

Shridhar Mittal氏：世の中に存在するスマートフォン向けのスパイウェアやマルウェアの量は、ここ数年で飛躍的に増加しました。というのも、６～７年前は、スマートフォンには今ほど機密情報が保存されていなかったからです。サイバー攻撃者達が攻撃を仕掛けたとしても、そこから得られる情報はわずかでした。しかし現在では、スマートフォンがハッキングされてしまった場合、多くの機密情報を引き出すことができます。そのため、スマートフォン向けマルウェアは大幅に増加しています。

私たちは、スマートフォン向けだけでも、毎週2,000もの新しいマルウェアを発見しています。昨年は1,500ものランサムウェアも発見しました。さらに、200万以上のスパイウェアも発見しています。スパイウェアとは、いったん端末に侵入すると、カメラを起動させたり、マイクを起動させたり、連絡先を抜き取ったりすることができるものです。

スパイウェアは、やりたいことは何でもできてしまうとても危険なものなので、もしスマートフォンがスパイウェアに感染してしまうと、居場所が分かってしまったり、そこから企業ネットワークにも入り込まれてしまいます。これは企業にとっては本当に脅威なのです。今日、ほとんどの企業はスマートフォンに何も対策していません。企業ネットワークに接続している何千台もの端末が、マルウェアやスパイウェア、ランサムウェアに感染しているかどうか、気付いていないのです。

誰かがフィッシングメールをクリックしていないか？悪意のあるネットワークに接続していないか？企業はまったく認知していません。企業はスマートフォンのセキュリティ対策をPC端末と同様に実施する必要があるのです。

スマートフォンのセキュリティ・インシデント事例にはどのようなものがありますか？

Shridhar Mittal氏：私達の大口顧客であるグローバル企業は約400社、小規模な顧客企業は何千とあります。中にはアメリカの国防総省のように公共の部門もあります。ヨーロッパ諸国の国防省も顧客ですし、アジア諸国や中東諸国の国防省も私たちの顧客です。

顧客の中の事例でいうと、ある顧客が利用中のスマートフォンからは2,000件ものマルウェアサンプルを発見しました。ランサムウェアだと1,500の新しいサンプルもありました。そして、何千台もの顧客のスマートフォンに同じものが侵入していることが分かりました。私たちが止めなければ、サイバー攻撃者は端末を乗っ取ってデータを暗号化し、人質に取ることができるんです。

フィッシングリンクについても同様で、昨年は数十万台のスマートフォンを対象にしたフィッシングリンクをブロックしました。悪質なサイトへのクリックは400万回以上防止しています。

スマートフォンを標的としたサイバー攻撃は今後ますます巧妙化する

今後、サイバー攻撃者がスマートフォン内の情報を窃取する手口はますます巧妙化していくのでしょうか？

Shridhar Mittal氏：最近の攻撃の多くは、セキュリティ上の脆弱性が発見されたときに、問題の存在自体が広く公表される前にその脆弱性を悪用する「ゼロデイ攻撃」です。

これまでのセキュリティ業界では、過去の攻撃事例から特徴的なパターンを検知する「シグネチャ」に大きく依存していましたが、最近ではゼロデイ攻撃の高度化が進んでいるため、すでに知っているシグネチャと比較することもできません。そのため、PC向けセキュリティでは、シグネチャベースのアンチウイルス対策からEDRテクノロジーを用いた対策へと移行しつつあります。ゼロディ攻撃を検知するためには、ある種の機械学習や人工知能が必要だからです。

もうひとつ付け加えたいのは、チャットGPTのような生成系AIの登場です。これは、サイバー攻撃を次のレベルに引き上げるものです。生成系AIのサービスはリリースされたばかりですが、とても勢いがあります。来年までには、ハッカーが企業を攻撃するために生成AIが日常的に使われるようになるでしょう。

例えば、フィッシング攻撃の例を挙げましょう。生成AIが登場する以前は、フィッシングを行うためには社内の２～３人の人物を調査し、その人たちがどんなことに関心を持っているのかを知り、ソーシャル・エンジニアリングなどを通じて、その２～３人の人物を狙ったメールやキャンペーンを作成する必要がありました。しかし、生成AIを使えば何百人もを対象にした分析活動を瞬時に行って、攻撃を巧妙化させることができます。

これまでユーザがフィッシングメールを見破ることができたのは、文章が適切でなかったり、何かがおかしかったから怪しいと判断できたのです。
これからはそうした攻撃はより巧妙化されてきます。生成AIは、あなたの情報を把握した上で、悪意のあるメールやメッセージなどを完璧に生成することができるのです。

フィッシング対策では、従業員全員に怪しいメールのリンクをクリックしないように教育すればどうにかなると考えられてきました。しかし、これからはフィッシングメールやメッセージがより巧妙に作られるようになるので、防げなくなっていきます。社員教育の如何に関わらず、誰かがクリックをしてしまうのです。

機械学習に基づく検知アルゴリズムで、モバイルセキュリティ対策を

AIまで使って巧妙化してくるサイバー攻撃に立ち向かうには、どのような対策が必要ですか？

Shridhar Mittal氏：攻撃者側のAIと戦うには、AIによる対策が必要です。Zimperiumでは、多くの人工知能や機械学習を使って、スマートフォン自体に攻撃を検知させています。

例えばフィッシングの場合、偽サイトへのリンクと判断するためには「既存のフィッシング・サイト と一致するか？」と確認が必要でした。しかし、ゼロデイ攻撃式のフィッシング・リンクも非常に多く出回っている現在では、この従来型のやり方はまったく機能しません。

そこで私たちZimperiumのモバイル端末向けセキュリティソリューション「Zimperium MTD」では、フィッシング・リンクであることを検知できる機械学習モデルを提供しています。

Zimperium が提供するモバイル端末向けセキュリティソリューション「Zimperium MTD」の強みは何ですか？

Shridhar Mittal氏：最大の強みは、マルウェア、フィッシング攻撃、悪意のあるアプリケーション、端末攻撃、ルーティングなど、あらゆる種類の攻撃において、ゼロデイ攻撃を誰よりも的確に検知できることです。

２つ目は、私たちは機械学習を多用しているため、ほかの誰よりも優れた分析が可能な点です。例えば、従業員の端末にアプリがインストールされていたら、私たちは実際にそれらのアプリを検知することも、スパイウェアやランサムウェアが紛れていないか分析することもできます。
さらに、ネットワークに接続する際にも脅威を検知することができます。例えば、ホテルや街中にあるフリーWi-Fiは便利ですが、悪意を持ったリモートアクセスポイントを設置し、施設の公式Wi-Fiに接続しているように見せかけて別のネットワークに接続させるという手口で、スマートフォンが盗聴される可能性があります。「Zimperium MTD」では、アルゴリズムによってそのネットワークの正誤を検知することができるのです。

３つ目は、機械学習を使うことで全ての脅威を端末上にあるエンジンで検知できるということです。競合他社のほとんどは、端末から情報を取り出し、それをクラウドにあるデータベースに送って分析します。
情報をクラウド上で分析することで、２つほど大きな問題があります。ひとつは、すべての情報を収集するのに時間がかかるという点です。情報を取得してクラウドに送信し、その後クラウドに戻してアクションを起こすには、多くのネットワーク帯域幅が必要になります。
もうひとつは、ハッカーがネットワークへのアクセスを遮断した場合、いったん端末に侵入してしまえば、もう検知ができないということです。

「Zimperium MTD」では、それらを検知できることが大きな強みです。ゼロデイ攻撃やNデイ攻撃（すでに修正プログラムが公開されている脆弱性に対して行われる攻撃）は、年々増加し、企業はその対策に追われています。それなら、機械学習やAIで検知することを強く勧めたいです。

日本のCISOに向けたメッセージ

最後に、日本のCISOへのアドバイスやメッセージをお願いします。

日本では大手企業のCISOたちですらiOSならすべて安全だと信じています。確かに、アプリストアを１つに絞ることはセキュリティ対策として効果があったことは間違いありません。しかし、状況は変わりつつあります。

Appleは欧州連合(EU)で施行されるデジタル市場法(DMA)を順守するため、来年までに代替アプリストアを容認する方針です。これはヨーロッパで始まったことですが、その後すぐに世界中に広がっていくでしょう。これまでのようにApp StoreのアプリをAppleが審査する体制は激変し、すぐにフィッシング攻撃やマルウェアが台頭します。

日本のCISOは、スマートフォンのセキュリティリスクをWindows端末やLinux端末、MacといったPC端末と同様に扱うよう、今こそ意識の転換を行うべきだと思います。