風狂屋の備忘録

アクセスカウンタ

zoom RSS スマートフォンによる公衆Wi-Fi利用は危険? 専門家が指摘

<<   作成日時 : 2012/03/10 02:24   >>

ブログ気持玉 0 / トラックバック 0 / コメント 0

スマートフォンによる公衆Wi-Fi利用は危険? 専門家が指摘

TechTargetジャパン 3月6日(火)18時18分配信
 前編「スマートフォンの位置情報を悪用した情報漏えいが2012年に急増?」は、2012年に脅威となるスマートフォンセキュリティの5大問題のうち2点を解説。個人の位置情報を活用したサービスの普及に伴う個人情報流出の懸念、パーミッションを過剰に要求するアプリケーションの増加という2つの問題について説明した。後編は、残る3つの問題を紹介する。

※関連記事:スマートフォンの位置情報を悪用した情報漏えいが2012年に急増?
http://techtarget.itmedia.co.jp/tt/news/1201/27/news05.html

●3. モバイルアプリケーションの脆弱性

 米GoogleのAndroidや米AppleのiOS向けアプリケーションストアのせいで新種のモバイルアプリ開発者が増殖しているとして、研究者らが警鐘を鳴らしている。モバイルアプリのフレームワークの成熟度の低さや開発を急がなければならない状況も相まって、粗悪なコードや欠陥、不必要な機能だらけのアプリケーションが開発され続けている。新しいモバイルアプリケーションの開発を急ぎ過ぎてしまう開発者もいるという。「われわれの顧客の中にはモバイルアプリを2週間で開発したというところもある。この種の開発作業においてセキュリティがおろそかにされている実態がここからうかがえる」。アプリケーションの脆弱性診断を手掛ける米Veracodeの創業者、クリス・ワイソパルCTO(最高技術責任者)氏はこう話す。

※関連記事:Androidアプリの40%が欠陥品!? 原因は安易な開発姿勢
http://techtarget.itmedia.co.jp/tt/news/1201/20/news09.html

 モバイルアプリケーションを調査した研究者は、多数のコーディングエラーを発見している。米セキュリティコンサルタント企業Intrepidus Groupの研究者であるマイク・ザスマン、ザッハ・レニア両氏が実施した調査では、多数のアプリケーションにコーディングエラーが隠れていることが判明。情報流出や権限昇格の脆弱性につながりかねないことが分かった。アプリ開発を急げば、認証エラーや出来の悪いファイルシステムパーミッション、甘過ぎるアプリケーションパーミッションといった高い代償を伴う過ちを招くと、レニア氏は警鐘を鳴らす。

●4. 危険なWi-Fi

 空港でも近所のカフェでも、ほとんどのモバイル端末は近くのWi-Fiホットスポットを自動的に探し出す。不幸なことに、ツールを使えば誰でも他人の通信を傍受したり、ブラウザセッションを乗っ取ることができてしまう。セキュリティ対策が不十分なWebメールセッションやTwitterなどのソーシャルメディアアカウントは、市販の基本的なツールを使えば乗っ取ることができることは研究で実証済みだ。Googleなど多くのサービスは、対策として公衆Wi-Fiからユーザーを守るためのセッション暗号化をサポートしている。だが依然として危険は残る。

※関連記事:スマートフォンの通信障害でも回線を止めない「無線LAN」の活用法
http://techtarget.itmedia.co.jp/tt/news/1202/01/news04.html

 ネットワークセキュリティ専門家のリサ・ファイファー氏によると、スマートフォンのユーザーがSSL/TLS暗号を正しく実装していないWebサイトを利用する場合、有名なWi-Fiホットスポット攻撃である「サイドジャッキング」のリスクにさらされる恐れがある。2010年にはFirefox用のプラグインとして、セキュアではないWi-Fiネットワークを経由してセッション乗っ取り攻撃を仕掛ける「Firesheep」という自動パケット盗聴ツールが開発された。同ツールは、ノートPCやスマートフォンとWi-Fiルータとの間のトラフィックを分析できる。ファイファー氏によると、これによってサイドジャッキング攻撃が単純になったという。他のWebユーザーのセッションCookieが傍受できるネットワークで、「選択してクリック」するだけで攻撃が可能になったのだ。

 Wi-Fiのセキュリティ不安に対応すべく、米IBMの研究チームは新規格の「Secure Open Wireless」を開発した。このシステムは、デジタル証明書を使ってWi-Fiホットスポットそのものにセキュリティ対策を施し、サイドジャッキング攻撃や中間者攻撃を阻止する。同規格の研究を主導したIBM X-Forceの脅威インテリジェンスマネジャーであるトム・クロス氏は、「無線アクセスポイントのSSIDが正規のものであることを確認し、クライアント端末が接続すると暗号化された接続が確立されるようにした」と説明する。セキュリティ専門家の多くはスマートフォンとノートPCのユーザーに対し、この規格が普及するまでの間は公衆無線LANの使用を控えるよう促している。

●5. 端末の紛失と盗難

 セキュリティ専門家は、モバイルマルウェアやフィッシングといったリモートからの攻撃について声高に説いて回っている。だが個人や企業を脅かす最大の脅威は依然として、端末の紛失や盗難だ。米ニューヨーク市では週に何十台もの携帯電話がタクシーの後部座席に置き忘れられている。

 米McAfeeがスポンサーとなり、米カーネギーメロン大学の研究チームが2011年5月に実施したスマートフォンのセキュリティ実態調査によると、モバイル端末の紛失や盗難を経験した組織は10社中4社に上り、紛失・盗難端末の半数に企業の重要情報が保存されていた。企業は適切なポリシーを導入し、重要データについては暗号化を導入する必要があると研究チームは結論付けている。データ暗号化を手掛ける米Credant Technologiesの共同創業者であるクリス・バーチェットCTOは「結局のところ、コラボレーションとデータ共有のためのアクセスコントロールとキーマネジメントに尽きる」と話す。

※関連記事:企業の4割、スマートフォンの紛失・盗難を経験
http://techtarget.itmedia.co.jp/tt/news/1106/28/news02.html

 モバイル端末のユーザーは、不正アクセスの防止に役立つパスフレーズやパスコードをほとんど利用していない。結果的に携帯電話が盗まれれば意のままにされてしまう。一部のアプリケーションに保存された連絡先や電子メールやデータは、平均的な能力を持つ犯罪者なら簡単にアクセスできる。企業向けモバイルセキュリティソフトウェアの大半は、端末の所在を突き止めてデータを消去する機能を備えている。だが私物端末のセキュリティに関するポリシーを策定していなければ、企業とその従業員の多くは危険にさらされ続ける。端末の紛失や盗難の届け出が提出された時点で、既にデータは持ち去られているかもしれない。

最終更新:3月6日(火)18時18分

TechTargetジャパン
http://headlines.yahoo.co.jp/hl?a=20120306-00000076-zdn_tt-secu

家庭用の無線LANルータも暗号が単純でアキバあたりで
無理やり電波的にこじ開けて侵入する機械が売ってた。
半島製携帯は情報だだ漏れってウワサもあるけど。

テーマ

関連テーマ 一覧


月別リンク

ブログ気持玉

クリックして気持ちを伝えよう!
ログインしてクリックすれば、自分のブログへのリンクが付きます。
→ログインへ

トラックバック(0件)

タイトル (本文) ブログ名/日時

トラックバック用URL help


自分のブログにトラックバック記事作成(会員用) help

タイトル
本 文

コメント(0件)

内 容 ニックネーム/日時

コメントする help

ニックネーム
本 文
スマートフォンによる公衆Wi-Fi利用は危険? 専門家が指摘 風狂屋の備忘録/BIGLOBEウェブリブログ
文字サイズ:       閉じる