スマートフォンのセキュリティ管理

少し前の話になるが， McAfee よりスマートフォンのセキュリティ管理に関する記事が出てたので紹介する。

• スマートフォンを守るための5つのヒント

ちょっと長いが，「5つのヒント」について以下に引用してみよう。

1. 他人と共有しない：決して、スマートフォンを他の人と共有しないでください。密かにスパイウェアをインストールされる可能性があります。
2. 適切なパスワードを使用する：パスワードや暗証番号でデバイスを保護してください。特に、メールにアクセスする際には、推測されにくいパスワードが必要です。また、ATMの暗証番号などの機密データを保存しないようにすると同時に、スマートフォン内のデータは暗号化を行い、定期的にバックアップすると良いでしょう。
3. 無料のWi-Fiを使用しない：銀行取引など、機密性の高い作業をするのに、公共の場所で無料のWi-Fiは、決して使用しないでください。使用しないときは、第三者は不正にアクセスできないよう、Bluetooth、Wi-Fiは無効化しておくべきです。Bluetooth設定は通常、デフォルトでオンに設定されているため、自分でオフに切り替える必要があります。また、Bluetoothを「隠し」モードに設定することも重要です。これにより、所有しているデバイス（ペアリングを行ったデバイス）以外のデバイスのアクセスを防ぐことができます。
4. 不審なメッセージは開かない：メールの送受信やソーシャルメディアの使用に関して安全な習慣を身につけてください。ダウンロードは信頼できるソースからのみ行うと共に、不審なメールや見知らぬ人からのSMSの添付ファイルやリンクを開かないよう、注意して下さい。特にモバイルバンキングに関係するアプリケーションは、必ず企業の公式モバイルインターネットサイトからインストールしてください。
5. セキュリティソフトを導入する：絶対数としては多くありませんが、スマートフォン、特にAndroid端末を狙ったマルウェアは増殖傾向にあります。これらの脅威から自分のスマートフォンを守るために、セキュリティソフト導入を検討してください。また、盗難や紛失時にデータをきちんと保護するために、スマートフォンのロック、メモリの消去、位置検索、データの復元を行うことができるソフトも有効です。

最初の「他人と共有しない」というのは言わずもがなだろう。 注意する点としてはスマートフォンだけでなく iPad のようなタブレット機でも出来る限り「他人と共有しない」ほうがよい。 パソコンと違い，これらの端末は複数のユーザが使用することを想定していない。 これらは個人に帰属する機械（User Equipment）であり，場合によってはプライバシーそのものでもある。

「適切なパスワードを使用する」ってのは意外に難しい。 つか，パスワード管理ってのはいつの時代でも難しい問題なのだ。 パソコン利用に関しては，パスワード管理はだいたい定石がある。 例えば，カスペルスキーでチーフセキュリティエヴァンゲリストを務める前田典彦氏によるアドバイスはこうだ。

「ネットサービスの利用者が、特に複数サービスを並行して利用している場合に注意するべきことは、各サービスに登録する情報の共通項を可能な限り減らすことだ。情報流出事故は各事案単発で起きているとしても、流出情報が裏市場に流れ犯罪者間で共有される場合が多い。

　登録情報に共通項が多いほど、1件の流出事故を発端として複数サービスの登録情報を悪用される危険性が増すからである。例えば同じID、パスワード、クレジットカードを使い回さない。メールアドレスをIDとして利用している（もしくはサービス仕様としてそうなっていることもある）人も要注意であるし、複数のIDを使い分けても、パスワードを同一にしている場合は危険である。非オンラインで日常的に使用しているクレジットカードを複数のオンラインサービスに登録することも薦められない。

　ただ、多くのID、パスワードを暗記することが不可能であるからといって、安易にブラウザにそれら情報を保存、記憶させることは絶対に控えるべきだ。保存情報を窃盗するマルウェアは非常に多い。対策の一例としてはID、パスワードを安全に管理するパスワードマネージャやパスワードウォレットと呼ばれる種類のソフトウェアの活用などが挙げられる。」

（via 複数ネットサービスのIDを持つ人が注意すべきこと）

先日の PSN の情報漏洩騒ぎでは私もエラい目にあったが（ソニーのあほんだら！），実際にパスワード認証を伴うサービスを数えてみたら20以上あった（既に使ってなくて放置してるサービスも入れたらもっとあるかも）。 私は20ものサービスのパスワードを全て覚えていられるほど頭は良くない。 上述の引用にもあるようにツールのお世話にならざるをえないわけだ。 でもこれがパソコンじゃなくてスマホやタブレット機だったらどうだろう。

無線 LAN （Wi-Fi）に関しては細心の注意をはらうべきだ。 まず暗号化してない無線 LAN には絶対に入ってはいけない。 暗号化といっても WEP は今では突破可能なので使用してはいけない。 また WPA も可能なら避けるべき（条件によるんだけどね： WPA の脆弱性の報告に関する分析，WPAのパスワードを“ハッキング”するクラウド・サービスがスタート）。 無線 LAN でひとまず安全と言えるのは WPA2/AES だけだと思ったほうがいい。 あと（最初の引用には書かれてないけど） Bluetooth に関するプライバシーのリスクは意外に知られていないが，都会で暮らしている人は気にとめておいたほうがいいだろう。

• Bluetoothで山手線の乗降パターンを追跡してみた

「不審なメッセージは開かない」はスマートフォンに限らず，あらゆるネットワーク端末で言えることだ。

Android の場合，マーケット以外からのアプリのインストールが可能なためマルウェア（malware; malicious software, ウイルスやトロイの木馬といった悪意のソフトウェアを総称してこう呼ぶ）がインストールされてしまう可能性がある。 マーケット以外からのインストールについては「提供元不明のアプリのインストールを許可しない」設定にすることでうっかりミスを回避できる。 それでも不安な場合は「セキュリティソフトを導入する」ことをオススメする。

最近は日本のマーケットでもセキュリティソフトが出揃ってきた。

• カスペルスキー、Android用セキュリティソフトの無償提供期間を2011年末までに延長
• Android版ウイルスバスター、トレンドマイクロが提供開始
• エフセキュア、Androidセキュリティアプリ公開～盗難対策機能は無料
• シマンテックがAndroid用セキュリティソフトの新版、フィッシング対策を追加し対応機種も拡大
• Android、WM、BlackBerryなどに対応した個人向けセキュリティサービス「McAfee WaveSecure」

個人的にはエフセキュアの製品がヨサゲに見えるのだが，なんとこれ，パッケージソフトになっていてマーケットからは購入できない。 企業向けにはいいかもしれないけど，個人で使うにはちょっと（「提供元不明のアプリのインストールを許可しない」オプションを外すのも嫌だし）。 というわけで私は今のところトレンドマイクロのβ版（今のところ無償）を入れて使ってるところ。 入れてみて気がついたんだけど，ウイルス等のチェック機能に関してパターンファイルの更新がデフォルトで30日ごとになってる。 要するに（メディア等で喧伝されるほど）マルウェアの驚異レベルはそんなに高くないんだよね（もちろんこれまで述べてきた注意点を守って運用していればだけど）。

「スマートフォンを守るための5つのヒント」でも書かれているけど，セキュリティ上最も気をつけなきゃいけないのは端末の紛失・盗難だ。 その次が spam や Phishing 等のソーシャル・エンジニアリングってところか。 そう考えるとトレンドマイクロの製品はちょっと貧弱。 やっぱエフセキュアかなぁ。 あるいは（マルウェアの検出機能がいらないなら）「McAfee WaveSecure」か。