テレワークの普及により、業務メールの確認や多要素認証(MFA)のツールとしてスマートフォンが利用されるようになりました。攻撃者はこの変化を見逃さず、セキュリティ管理が甘くなりがちなスマートフォンを、新たな侵入口として狙い撃ちにしています。
本記事では、スマートフォンを狙うランサムウェアや各種詐欺の実態と、個人のスマートフォン感染が企業全体のシステム停止へと連鎖するリスク、そして必須の防御策をわかりやすく解説します。
パソコンだけじゃない?「スマホ向けランサムウェア」の実態
まずは、スマートフォンを取り巻く脅威の現状と、PCとは異なるスマートフォン特有の被害傾向について解説します。
リモートワーク・BYODの普及で急増するモバイルへの攻撃
パンデミック以降、私物のスマートフォンを業務に利用するBYOD(Bring Your Own Device)やテレワークが急速に普及しました。これにより、会社のファイアウォールや境界防御の外にあるモバイル端末が、直接クラウドサービスや社内システムへアクセスするようになり、攻撃者にとって極めて狙いやすいターゲットとなっています。
スマホ特有の手口とは(SMS、偽アラート、アプリ誘導)
スマートフォンに対する攻撃は、メールの添付ファイルを開かせるPCの手口とは異なります。画面が小さく日常的に利用するスマートフォンの特性を悪用し、人の焦りやパニックを誘発する手法が主流です。
- SMSを利用した偽の通知: 宅配業者や通信キャリアを装って送られる、ショートメッセージ(SMS)の悪用
- 偽の警告(アラート)の全画面表示: Webブラウザ閲覧中に突然「ウイルスに感染しました」と表示させ、不安を煽る手口
- 不正アプリへのインストール誘導: 偽の警告やSMSから「解決するためのアプリ」等と称し、危険なアプリを直接ダウンロードさせる手法
AndroidとiPhoneにおける被害傾向の違い
同じ詐欺メッセージを受信しても、スマートフォンのOSの仕様によって引き起こされる被害パターンは異なります。
Androidの場合
公式ストア以外からのアプリの直接インストールが可能なため、偽のセキュリティアプリや宅配アプリを装った「マルウェア(不正アプリ)のインストール」へと誘導され、スマートフォンを直接乗っ取られます。
iPhone(iOS)の場合
原則としてApp Store経由でしかアプリをインストールできないため、攻撃者はアプリ感染を諦め、Apple IDやクラウドサービスのパスワードを盗み出す「フィッシングサイトへの誘導(情報窃取)」をメインに行います。
出典:IPA「国税庁をかたる偽ショートメッセージサービス(SMS)や偽メールに注意」を基に作成
https://www.ipa.go.jp/security/anshin/attention/2022/mgdayori20221031.html
なぜ感染する?スマホを狙う3つの巧妙な手口
攻撃者は、どのような手口で私たちのスマートフォンに侵入しようとするのでしょうか。代表的な3つの手口を紹介します。
手口①:偽ショートメッセージサービス(SMS)による不正サイト誘導
最も被害が多いのが、宅配業者や通信キャリア、そして国税庁などの公的機関を装った偽のSMSです。
従来からある「お荷物をお届けにあがりましたが、不在のため持ち帰りました」といった不在通知のほか、「未払い税金のお知らせ」や「最終催告(差押え予告)」などと国税庁を装う手口が急増しています。公的機関からの「差し押さえ」といった強い言葉でターゲットの不安や焦りを煽り、メッセージ内のURLから偽サイトへ誘導して、個人情報やシステムの認証情報を入力させようとします。
出典:IPA「国税庁をかたる偽ショートメッセージサービス(SMS)や偽メールに注意」
https://www.ipa.go.jp/security/anshin/attention/2022/mgdayori20221031.html
手口②:公式ストアを迂回した不正アプリのインストール誘導
SMSのリンクやWebサイトの広告から、「セキュリティを強化するためにこのアプリを入れてください」などと偽り、公式のGoogle PlayやApp Storeを経由せず直接不正なアプリをインストールさせようとします。
手口③:システム警告を装った「偽のセキュリティアラート」によるパニック誘発
Webサイトを閲覧している最中に、「システムが破損しています」「ウイルスが検出されました」といった偽のアラート画面を表示させます。パニックになったユーザーに、偽のサポート窓口へ電話をかけさせたり、不正アプリをダウンロードさせたりします。
出典:IPA「スマートフォンの偽セキュリティ警告から自動継続課金アプリのインストールへ誘導する手口にあらためて注意!」
https://www.ipa.go.jp/security/anshin/attention/2022/mgdayori20221025.html
スマホは“常にログイン状態”な点が最大の弱点
スマートフォンは利便性を優先するため、メール、チャットツール、クラウドサービスなどが常にログイン状態に保たれています。そのため、一度端末を掌握・ロックされたりすると、企業システム全体へのアクセス権が奪われるという致命的な弱点を持っています。
【企業のリスク】個人のスマホ感染が「組織の致命傷」になる理由
個人のスマートフォンがランサムウェアやマルウェアに感染することが、なぜ企業全体の脅威となるのでしょうか。その連鎖リスクの仕組みを解説します。
テレワーク・BYOD(個人端末の業務利用)が生み出すセキュリティの死角
会社が支給するPCはセキュリティソフトで守られていますが、従業員個人のスマートフォン(BYOD)はOSのアップデートが放置されていたり、危険なアプリがインストールされていたりと、企業の管理の目が届かないセキュリティの死角となっています。
VPNの認証情報や「MFAトークン」の窃取
攻撃者の真の狙いは、個人端末の暗号化ではありません。スマートフォン内に保存されている業務用の「VPNのパスワード」や、社内システムへログインするための「MFA(多要素認証)のトークン(ワンタイムパスワード等)」を盗み出すことです。
スマホを“踏み台”にして、企業のサーバーへランサムウェアを仕掛ける手口
認証情報を盗み出した攻撃者は、正規の従業員になりすまして、企業のVPNやクラウド環境へログインします。その後、社内ネットワークを探索して権限を奪い、本命である企業のサーバーにランサムウェアを仕掛け、莫大な身代金を要求します。
「スマホ→メール→VPN→サーバー→ランサムウェア」で被害拡大
このように、直接会社を狙うのではなく、従業員のスマホを踏み台にした連鎖的な被害拡大が実際に多発しています。
- 従業員のスマートフォンがマルウェアに感染
- 業務メールや認証情報が盗まれる
- VPNを突破されて社内へ侵入される
- サーバーにランサムウェアが展開される
関連記事:【ランサムウェアとは】企業の事業継続を脅かす脅威|最新手口、感染経路、必須対策、復旧までを徹底解説
【実践】「スマホの画面がロックされた…」時の正しい初動対応
もし従業員から「スマートフォンのアラートが消えない」「画面がロックされて操作できない」と報告があった場合は、以下の初動対応を迅速に行ってください。
ステップ | 目的 | 具体的なアクション |
|---|---|---|
Step1 | 通信の遮断 | ネットワーク通信(Wi-Fi・モバイルデータ)の即時切断(機内モード化) |
Step2 | 被害の抑止 | 身代金の支払いや、画面の指示に従った入力(ログイン等)の絶対禁止 |
Step3 | 原因の排除 | セーフモードでの端末起動と、原因となった不正アプリの特定・削除 |
Step4 | 組織への報告 | 業務で利用している場合は「情シス部門」への速やかな報告 |
Step5 | 二次被害防止 | 端末内で利用していた、同一アカウントのシステムパスワードを別端末から変更 |
Step1:ネットワーク通信の即時切断(機内モード化)
端末内の情報が外部のサーバーへ送信されるのを防ぐため、Wi-Fiおよびモバイルデータ通信をオフにし、スマートフォンを「機内モード」に設定してネットワークから隔離します。
Step2:身代金の支払いや、画面の指示に従った入力を行わない
画面上に「罰金を払え」「復旧のためにパスワードを入力しろ」のような表示があっても、従ってはいけません。身代金を払っても画面が元に戻る保証はなく、入力した情報はすべて盗み取られます。
Step3:セーフモードでの端末起動と不正アプリの特定・削除
不正なアプリが原因で画面がロックされている場合、必要最小限のシステムだけで起動する「セーフモード」でスマートフォンを再起動します。その後、設定画面から不審なアプリを探し出してアンインストールします。
Step4:「情シス部門」への速やかな報告
業務メールや社内システムにアクセスしているスマートフォンが被害に遭った場合、隠蔽してはいけません。「怒られるかもしれない」という個人の隠蔽が、企業全体の致命傷に繋がるため、情シス部門へ報告するルールを徹底します。
Step5:同一アカウントを使うシステムのパスワード変更
スマートフォンからパスワードや認証情報が漏えいした可能性を考慮し、安全な別のPCや端末から、該当のスマートフォンで利用していた社内システムやクラウドサービスのパスワードを速やかに変更します。
スマホをランサムウェアから守る「4つの予防・管理策」
スマートフォンをサイバー攻撃から守り、企業ネットワークへの連鎖被害を防ぐためには、端末単体の予防策と組織としての管理体制の両立が不可欠です。
対策の柱 | 具体的なアクション |
|---|---|
対策①:OS・アプリの最新化 | OSアップデートの徹底と、公式ストア以外からのインストール禁止 |
対策②:セキュリティソフト導入 | モバイル向けセキュリティソフトによる不正通信のブロック |
対策③:MDMの導入とルール化 | BYODルールの厳格化と、紛失・感染時の遠隔ロック・データ消去 |
対策④:従業員教育と訓練 | 「SMSのリンクは原則タップしない」という教育と定期的な模擬訓練 |
対策①:OS・アプリの常時最新化と、公式ストア以外からのインストール禁止
システムの脆弱性を塞ぐため、OSやアプリのアップデートは通知が来たらすぐに適用する運用をルール化します。
- OS・アプリの最新化: 自動アップデート機能を有効にし、常に最新のセキュリティ状態を保つ
- 公式ストアの利用徹底: Google PlayやApp Store以外からのインストール(野良アプリ)を固く禁じる
対策②:モバイル向けセキュリティソフトの導入
PCと同じように、スマートフォンにも不正アプリ・フィッシング・危険な通信を端末上で検知・遮断する仕組みが必要です。
- セキュリティソフトの導入: 悪意のあるアプリのインストールや、危険なフィッシングサイトへのアクセスを自動でブロックするアプリの導入
- MTD(Mobile Threat Defense)の活用: 企業全体でモバイル端末の脅威を検知・防御する法人向けソリューションの導入
対策③:MDM(モバイルデバイス管理)の導入と、BYODにおける利用ルールの厳格化
業務に利用する端末を組織として適切にコントロールする体制を整えます。
- MDMの導入: 情シス部門が端末のセキュリティ状態を一元管理し、有事の際に遠隔でロックや初期化ができる仕組みの構築
- BYODルールの厳格化: 個人のスマートフォンを業務利用する際の申請手続きや、守るべきセキュリティ基準の社内規程として明文化
対策④:従業員教育と定期訓練の実施
システムの防御だけでなく、スマートフォンを利用する従業員自身の「気づき」を高めることが最後の砦となります。
- 従業員教育の徹底: 「身に覚えのないSMSのリンクは絶対にタップしない」「警告画面が出ても焦って操作しない」といった基本リテラシーの教育
- 定期訓練の実施: 疑似的な標的型SMSやメールを送信し、危険なリンクを見抜けるか確認する実践的な訓練
まとめ:スマホもPCと同等の管理体制が必要
スマートフォンは、従業員にとって最も身近なデバイスであると同時に、攻撃者にとって「最も狙いやすい社内ネットワークへの侵入口」です。「個人の端末だから大丈夫」という油断や隠蔽が、結果として企業全体のシステム停止に繋がります。企業はPCの保護だけでなく、スマートフォンを含めた「エンドポイント全体」を監視・管理できる強固なセキュリティ体制を構築することが不可欠です。
【ホワイトペーパー】
人材不足・複雑化する脅威にどう立ち向かう?
MDRアウトソーシングで乗り越えるセキュリティ運用の壁
ダウンロード
