BYOD以外でもKNOXで

業務で利用するスマートフォンやタブレット。

導入当初は企業側で一括管理するために、端末を利用者に配布することでセキュリティー面を担保していました。

様々な業務で利用し、また多くの機種が登場すると端末選定に時間を必要とし、適切な時期に展開が難しくなったり、費用面で課題が出てきたりもしています。

そこで台頭してきた考え方が「BYOD」(Bring Your Own Device)です。

今まで「個人」で利用してきた端末を「業務」にも利用させる、という考え方です。

利用者は慣れた端末を使うことができ、企業は導入端末の選定に頭を悩ませることもなく、魅力的な考えと思われてきましたが、実際の導入は進んでいない様です。

当初「BYOD」向けのソリューションとして、Samsung社は「KNOX」という技術を提供をはじめました。

「KNOX」は利用者のプライバシーを保ちながら、端末内データの管理と保護を強固にするハイレベルにセキュリティーソリューションです。

しかし、BYODが進まない中、この「強固なセキュリティー」を利用しようとする動きもあります。

この「KNOX」技術の一部を取り込んだものに、Googleの「Android for Work」があります。

「KNOX」は端末を、よりセキュアに運用することが可能です。

もちろん、「MobiControl」はこの「KNOX」にいち早く対応をしました。

KNOX_Profile_01

KNOXはコンテナ技術を利用し、パーソナル部分とビジネス部分を完全に切り分けることが可能なので、企業配布の端末でも「より強固」なセキュリティーを担保します。

KNOX領域にアクセスするにはパスワードを必要とします。

端末に「もしも」の場合があっても、端末内にアクセスするパスワードのほかに、KNOX領域にアクセスするパスワードが分からなければビジネス部分のデータを見られることがありません。

MobiControlでは、端末に対するパスワードロックの強制以外に、KNOX領域に対するパスワードロックも「即座」に掛けることも可能です。

KNOX領域では256ビット長のAES暗号化アルゴリズで暗号化され、この領域だけで利用可能な「アプリ」や「データ」を扱うことができ、パーソナル部分にデータを持ち出すことを制御します。

MobiControlはこの暗号化されたKNOX領域の「完全性」も常にチェックします。

KNOX_Profile
それだけでなく、KNOX領域内に対して、「アプリの利用制限」や「端末機能の利用制限」、「VPN」の設定を行うことが可能です。

同時に、「Android Plus」の技術も含まれてるので、アプリのサイレントインストールや端末へのリモートコントロールも今までのMobiControl同様な機能も「追加」なく利用出来ます。

Samsung社の「KNOX」技術とMobiControlの「Android Plus」で、業務利用する端末をよりセキュアに、そしてより簡単に管理と運用を可能にします。

MobiControlの『KNOX』利用に関しての詳細は

お問い合わせページ

からお問い合わせ下さい。

踏み台になるかも

2017年に入って、以前に登場したマルウェアが亜種として復活しているそうです。

この状況を報告したのはセキュリティ企業の「Check Point」で、プログにて明らかにされています。

元々のマルウェアは2016年初頭に登場した「HummingBad」というもので、サードパーティ製のアプリに寄生して拡散されました。

端末内に留まると、勝手に広告閲覧し、月額300,000ドルも稼ぎ出していたとか。

被害の影響は1,000万人以上ともいわれています。

この「HummingBad」の派生種「HummingWhale」がGoogle Play Store経由で拡散していたと報告されています。

このマルウェアはGoogle Playで配信されているアプリに潜んで拡散し、端末の中で仮想マシンを立ち上げ、不正に広告収入を得る手口のほか、不正にIDを作成してアプリレビューで良い評価を行う動作も明らかになったとされています。

主な被害は日本以外となっている様ですが、今まで、アプリの選択を行う際に一定の評価を基にダウンロードしている場合は注意が必要です。

現在ではこのマルウェアに寄生されているアプリはGoogle Play Storeから排除されているそうですが、感染しているかの診断はCheck Point社が出しているアプリで分かる様です。

情報元のプログではマルウェアのアプリ名(パッケージ名)が記載されてるので、確認も可能です。

ともかく、インストールしてみたいアプリでも、今一度情報を収集して、脅威の排除を心掛けたいものです。

セキュアなウェブブラウジングを

PCに比べるとモバイルでの利用者を脅かす様な脅威は少ないといえます。

ただし、モバイルデバイスの利用者が増えるに従って、PCほどではないにせよ脅威が増しています。

インターネットを利用した攻撃の経路は大きく分けて2つ存在し、1つは「Email」と、もう1つは「Web閲覧(ブラウジング)」です。

Emailでの代表的な脅威は、信頼された相手先を装ったメールの添付ファイルによる被害となり、Web閲覧では不正なサイトへの誘導による被害が挙げられます。

PCの様な使い方が難しいモバイルデバイスでは、脅威の経路としては「Email」よりも「Web閲覧(ブラウジング)」の方が多いです。

不正なサイトへの誘導では、例えば偽のセキュリティ警告を表示させて不正サイトへ誘導の上、マルウェアをインストールさせる手口などがあります。

Android端末では、Google Play Store以外からもアプリがインストールできるため、マルウェアによる脅威には注意しなくてはなりません。

また、iOS端末はApp Storeのみでしかアプリをインストールできず「セキュア」だといわれていますが、アプリインストールに必要なプロビジョニングプロファイルに細工をしてアプリをインストールさせる手口も現れている様です。

そこで、如何にセキュアなブラウジング環境を整えるかが課題となります。

モバイルデバイス向けに対策を取ろうと思うと費用もそれなりに掛かってしまいます。

ところが。

MobiControl」ではセキュアなブラウザが標準で実装されています。

このブラウザは「SOTI surf」といい、Google Play StoreやApp Storeから「無料」でダウンロードできます。

MobiControl利用者は管理コンソールから、この「SOTI surf」向けに設定を固めるだけで、「セキュア」なブラウジング環境をモバイルデバイスに提供します。

SOTI_surf_02

SOTI surf」向けに設定できる項目は多岐にわたり、「プライバシー」としてダウンロード禁止やクッキー、キャッシュの受け入れ禁止など、ブラウザー利用時の制御を行ったり、「フィルタリング」としてホワイトリストやブラックリスト、コンテンツカテゴリーによるフィルタリング機能、拡張されたブックマーク機能など充実した内容が「無料」で提供されています。

MobiControlを利用していれば、セキュリティー対策のために別途ブラウザーを用意する必要がありません。

MobiControlでの『SOTI surf』については

support@pol-japan.co.jp

までお問い合わせ下さい。

ランサムウェアの脅威

マルウェアの脅威でも、このところは「ランサムウェア」による脅威が増しています。

「ランサムウェア」とはPC、モバイルデバイスを暗号化やロックしてしまい、解除に対する「ランサム」(身代金)を要求する「マルウェア」です。

厄介なのは、身代金を払ったとしても解除される保証がなく、場合によっては身代金の支払いばかり続いてしまうこともあります。

世界的な拡がりと同様に、日本でも拡大しています。

ransome_01
出典:トレンドマイクロ社

2015年第3四半期では「法人:340」「個人:1,060」「合計:1,400」のランサムウェア検出台数だったのが、2016年第3四半期には「法人:7,900」「個人:26,300」「合計:34,200」と前年同期比で「24.4倍」にもなっています。

流入経路はメールによる添付を開いてしまうケースが一番多く、次いでWeb経由での拡散になります。

業務利用しているPCやシステムがやられてしまうと影響と被害は甚大です。

さらに、「モバイルデバイスへの脅威」も見えてきました。

160914comment01

上のグラフは同じくトレンドマイクロ社の資料で、過去1年間(2015年9月~2016年8月)におけるモバイル向けランサムウェアの検出数推移を表しています。

2016年8月時点では、全世界で「193,000件」が検出されました。

ただモバイルデバイス向けのランサムウェアでは、内部の暗号化ではなく「ロック」を利用した攻撃がほとんどで、外部からの暗号化が難しいためだと考えられています。

端末の初期化により排除することが可能ですが、再設定を思うとやはり「考えもの」になります。

「ランサムウェア」をはじめとした「マルウェア」への対策は「事前」が肝要です。

・JailBroken(脱獄)やルート化は行わない
・公式のマーケットのみの利用とする
・アプリの評価や開発元の評判をしっかりチェックする
・セキュリティアプリを導入する
・インストールの際は「権限」(何にアクセスするのか)をしっかりと確認する
・メールやSNSのリンク、添付を安易に開かない

これらをしっかりと実行して、セキュアな端末に保ちたいものです。

ランサムウェアを含めた「マルウェアの脅威」については今後も追っていきたいと思います。

MobiControlではAndroid端末向けにウェブフィルタリング機能やマルウェア対策機能、iOS端末向けにウェブフィルタリング機能を提供しています。

日頃の「事前」対策とともに、上記も含めたMobiControlの機能をフル活用することで、業務利用するモバイルデバイスのセキュリティは一層強化されます。

MobiControlでの『セキュリティ対策』については

support@pol-japan.co.jp

までお問い合わせ下さい。

iOSを強力に管理

2007年のiPhoneの登場と共に、iOS(iPhone OS)もアップデートが重ねられてきました。

iOS自体の作りがセキュアだったため、Android端末に比べ企業での利用が進んでいます。

ただし、企業が望むような端末管理や制限がなかなか出来ない部分もあり、MDMでの利用もロックやWipeといったごく当たり前の機能のみが多かった様です。

しかし、iOSのアップデートが進むにつれ、利用可能となるMDM APIsも多様になってきました。

今では、かなりの制限もできる様になり、企業利用でも十分な対応が可能となっています。

そんな機能の一つに「アプリ制限」があります(要監視モード)。

今までのMobiControlではごく限られたアプリのみの利用制限に留まっていましたが、「iOS 10」になり大幅なアプリ制限機能を提供出来ました。

この機能を利用すれば、「端末管理者が許可したアプリのみを利用させる」ことが可能になります。

また、VPP(Volume Purchase Program)のデバイスベースの配布にも対応しているので、アプリの利用制限とアプリの自由な配布が同時に可能となります。

つまり、アプリ利用制限中でも、アプリのサイレントインストールが可能です!

「MobiControl」ではリリースされた「iOS 10.1」と「iPhone 7」「iPhone 7 Plus」にも対応し、『余計なアプリを利用させたくない』という要望にも応えられる機能を持っています。

MobiControlでの『アプリの利用制限』については

support@pol-japan.co.jp

までお問い合わせ下さい。

うっかり?

このブログではモバイル端末にまつわるセキュリティ関連の記事も掲載しています。

ある時は端末ログインパスワードに関する注意喚起だったり、脆弱性に対応したOSのアップデート情報だったり、脆弱性そのものだったりします。

今回もセキュリティ関連で。

一部のメーカー製端末は密かに内部のデータを某国に流していた様です。

セキュリティ企業のKryptowire社はAndroid端末のうち、ローエンドに属する端末で位置情報、テキストメッセージや通話履歴などの個人データが収集されていたと明らかにしました。

これは対象とするデータを収集し、一定間隔で特定のサーバーへ送信するアプリによってもたらされました。

このアプリは中国/Shanghai Adups Technology Company(Adups)で開発されたもので、同社はファームウェアをOver The Air(OTA)で配布する業務を行っています。

同社のファームウェアを採用している端末メーカーとして「Huawei」「ZTE」「BLU」などが挙がっています。

また、同社はこの様なアプリが入ったのは、顧客の求めに応じた「迷惑メッセージや迷惑電話を区別する手段を提供」するために導入され、例えば「BLU」製端末では機能が「手違いで」含まれていた、としています。

これに対し、米国「BLU」社では直ちに対応し、「アプリを削除してセキュリティ問題を解決しました」と公式に声明を出した様です。

ところが、更に・・・。

セキュリティ調査会社のBitSight社は、ルート権限を取得した上で自由にソフトウェアを実行可能なルートキットが含まれるファームウェアが安価なAndroid端末に導入されていると明らかにしました。

この脆弱性で、悪意のある第三者により端末を自由に操作されてしまう可能性もあり、脆弱性を含む端末メーカーとして、また「BLU」社が出てきてしまいました。

脆弱性を含むファームウェアは中国/Ragentekが製造したもので、米国内で判明している分だけで280万台に上るそうです。

やはり価格が安いとなると、ある程度のセキュリティは犠牲になってしまうのでしょうか。

もっとも、ガッチリしたセキュリティ対策を施した端末もそんなに高くはありませんが、多くの国や地域ではまだ手の届かない価格になっているので、この様なセキュリティ対策が為された端末が安価に出てくることを願います。

意外な支払い手段

iOS 10、そしてiPhone 7/iPhone 7 Plusの登場で日本でも「Apple Pay」が利用可能となり、便利さが拡がってきましたが、一方で企業利用している場合には「制限したい」との声もあります。

「MobiControl」でもそんな声にお応えできる機能も提供し、企業向けに安心をお届けしています。

ところで、世界規模で考えると、端末は持っているけど、常時快適な通信環境にない地域や国がまだまだ多くあります。

これら地域、国では決済手段が乏しく、また金融機関も十分に機能していない場合があり、ネットワークを利用した支払手段は敷居が高いものとなっています。

この様な状況を打破するべく、また円滑な決済手段の登場をビル・ゲイツ財団ではかねてから提唱していました。

これに呼応するように、英国/ケンブリッジ大学は貧弱なネットワーク環境下でも資金決済が可能となる「DigiTally」を発表しました。

この「DigiTally」は多くの国や地域でまだ使われている「GSM」(2G)回線でも安全に決済手段を提供したものとなり、SIMに「DigiTally」専用のシールを貼って、セキュリティーを高めて利用します。

暗号化されたSMSベースを使い、8桁のコードを利用して決済するので、スマホでなくてもフィーチャーフォンでも使えます。

セキュリティーが甘い通信回線のセキュリティーを高め、通信品質を安定化し、かつ簡単な操作で決済が可能となるこの技術は「手軽さ」の恩恵を与えそうです。

リッチな環境でも、プアな環境でも同じように発展していくことが望ましいです。

この「DigiTally」、今後もちょっと注目していきたいと思います。

分からないですね

スマートフォンやタブレットは「電波」を利用し、データのやりとりを行っています。

データには重要なものや個人情報にかかわるもの、取るに足らないものなど様々な種類があります。

データ通信に無防備だと、これら情報が第三者に見られてしまうため、注意が必要です。

街中を含め、そこらじゅうで確認できるWi-Fiのアクセスポイント。

通信の傍受は非常に簡単な様子で手練だと1分半もあればハッキングに成功するとのこと。

海外では実際に傍受されてしまうことが多い様で、Wi-Fi接続時にはVPN利用が望ましいとされています。

VPN利用とはいかないまでも、通信時のセキュリティーは気にしたいものです。

しかし、巧妙なものも存在します。

ドイツ・ベルリンを拠点として活動するアーティスト兼ハッカーのJulian Oliveさんは「Stealth Cell Tower」を作成しました。

celltower

これはプリンターを装った通信傍受装置で、傍受だけでなく、電話番号の乗っ取りやSMSの通信相手の情報も取得できてしまうとのこと。

「IMSIキャッチャー」という情報収集ツールを警察・政府・諜報機関・軍などが利用している実態を調査していく過程で、この装置の制作に思い至ったとのこと。

対象とする電波規格は「GSM」なので、日本では利用出来ませんが、実在を考えると恐ろしい気がします。

ところで、Wi-Fi網やキャリアの地上波に依拠しない端末として、SoftBank社は衛星電話「501TH」を来年に発売する予定の様です。

501th

重量が212gと、これまでの衛星電話に比べ、非常にコンパクトな作りになっていますが、待ち受け時間は100時間、連続通話時間は9時間と、「IP55/IK05」の耐性もあり実用性も全く問題ありません。

さてこの衛星電話、やっぱり通信を傍受されてりしてしまうのでしょうか。

何れにせよ、通信を行う際のセキュリティーは十分に気を付けたいものです。

アップデートはお済みですか

9月14日に「iOS 10」がリリースされ、「メッセージ」「Siri」「マップ」「写真」「ホーム」「Apple Music」「Apple News」「電話」とその他を含め数多くのアップデートがありました。

ところがこのiOS10、パスワード保護メカニズムが前バージョンより脆弱になっている模様。

これまでのバージョンでは、パスワードをiTunes経由でPCにバックアップする際に平文をハッシュ化して保管し、ハッシュ関数を数千回~1万回に亘って掛けていた(「PBKDF2」)そうですが、iOS10からは「SHA-256」というアルゴリズムを採用。

「SHA-256」ではハッシュ化処理が1回キリ。

ios10_security
Data by ELCOMSOFT

ちょっと古いIntel i5マシンでのパスワード抜き出し処理にかかる件数でも、iOS9では「2,400件」だったのに対して、iOS10では「6,000,000件」だったとのこと。

実に「2,500倍」の開きがあります。

それだけ、iOS10の脆弱性が高いということです。

なお、この件について、Apple社は「調査中」としており、セキュリティアップデートで対応する予定とのこと。

そんなiOSですが、「iOS 10.0.2」がリリースされました。

img_0003

・ベッドフォンのオーディオコントロールが一時的にうまく動かない問題に対処

・iCloudフォトライブラリをオンにしたとき”写真”が終了してしまう問題を修正

ということです。

脆弱性を埋めるために、こまめなアップデートを心掛けたいですが、アップデート版の情報をよく調べつつ、アップデートは注意して行って下さい。

意識を高めに

このブログではモバイルデバイスに関するセキュリティ情報を載せたりしていますが、モバイルデバイス以外にも深刻な状況が生まれている様です。

脅威として槍玉に上がっているのが「ランサムウェア」です。

このマルウェアは対象となる端末や機器に侵入するとデータを暗号化してしまいます。

そして、「手数料」(身代金)を払わないと暗号の解除を行わない旨の脅迫が付いてきます。

非常に質が悪いですね。

セキュリティ対策企業の「トレンドマイクロ」社はこの脅威に対する調査「企業におけるランサムウェア実態調査 2016」を実施し、公表しました。

調査結果によると、「ランサムウェアの被害の可能性」について、「34.8%」が「ない」と回答。

可能性の真っ向からの否定が1/3もあったことに驚きました。

次に「ランサムウェア対策」については「33.3%」が「導入している」との回答。

こちらは「対策済み」が1/3と、非常に疎かな状況が浮かび上がります。

また、実際に被害に合った場合に身代金を払った割合が「62.6%」あり、その金額も「300万円」以上の割合が「57.9%」と被害に合った場合に高額な支払いが発生していることが分かります。

この調査では「ランサムウェア」に対しての認識が低く、かつ対策の情報が浸透していない状況で、実際に被害にあった場合は相当な金額が必要となっていることが分かりました。

なお、英国でも同様な調査を行っていて、ランサムウェアに感染した場合に身代金を払うつもりがない、と回答した英国企業の割合は「74%」と高い結果に(ケチ?)。

ところが、実際に感染すると「65%」の企業が身代金を払っていた事実が明らかになりました。

更に、5社に1社は「身代金を払った」にもかかわらず、データを「復旧できない」状況にもある様です。

ランサムウェアへの対応、対策はすぐに始めましよう。

同時にバックアップも忘れずに。