スマホやパソコンへのゼロクリック攻撃とは?
トップページへ
この記事は「キャノンMJ」様の記事
「ゼロクリック攻撃?なぜそのような攻撃が起こり得るのか?」(2023/3/9公開)
を基に、当方が概要だけをまとめた記事です。全文をご覧になりたい方は前述の記事をご覧ください。
なお、まとめた理由は「メールやメッセージを受けただけで、何もしなくても被害にあう可能性がある攻撃と書かれていたので、より多くの方に情報を共有して頂きたいと思ったから」です。
Q.ゼロクリック攻撃とは?
A.「一度もクリックせずとも」被害に遭遇する可能性がある攻撃手法のこと。特定のリンクへのクリックや、ファイルの実行といったユーザーのアクションが発生せずとも攻撃が成立し、ユーザーの気づかないうちに、情報をサクシュするスパイウェアなどのマルウェアがインストールされ、被害に至る場合がある。
Q.ゼロクリック攻撃のはじまりは?
A.スパイウェア「Pegasus」を使ったゼロクリック攻撃で、2016年にイスラエルのテクノロジー企業によって開発されたが、「WhatsApp」などのメッセージアプリでメッセージを受信するだけでも感染するとされる。
Q.ゼロクリック攻撃の内容は?
A.Pegasusに感染してしまうと、テキストメッセージや通話の追跡にとどまらず、メッセージアプリやSNSアプリから情報を収集し、外部へ送出することが可能となり、実際に政治家やジャーナリストを標的にした情報漏えい事件を過去に引き起こしている。その一方でフィッシング詐欺のように、一般のユーザーが標的にならないという確証はない。
Q.ゼロクリック攻撃の特徴は?
A.
1)スパイウェアの利用
無害なアプリやソフトウェアに偽装してユーザーの端末に潜伏する。
管理人補足:「信頼できるアプリ、ソフト」のみダウンロードする。無料やタダであっても、よくわからない、不安なアプリは入れない方が安心だと思いますし、有料アプリの場合でも「信頼できるかどうか」を事前に検討した方が良いと思います。
2)メッセージアプリの利用
メッセージアプリによっては、友だちとしてつながっていないユーザーに強制的にメッセージを受信させることが可能なものもあり、メッセージアプリは攻撃者にとって好都合なツールとなっている。
3)ゼロデイ攻撃で脆弱性を狙う
メッセージアプリ経由でマルウェアを送り込むだけでゼロクリック攻撃が成功するわけではなく、メッセージアプリに潜む未知のの脆弱性を突くことでスパイウェアを送り込む。ユーザーが防御するのは極めて難しい。
4)iPhone(楽天市場で探す ・ amazonで探す)も標的になる
ゼロデイ攻撃が用いられる以上、iPhoneだから安全、というセオリーは通用しないと考えるべき
Q.ゼロクリック攻撃への防御方法は?
A.
[一番簡単]・OSやアプリを最新の状態に維持(アップデートを定期的に行う)
[ユーザーの運用次第]・極力、端末に重要なデータを保管しない
ゼロクリック攻撃ではユーザーの気づかぬ間にデータが窃取されてしまう。しかし、そもそも端末にデータがなければ窃取されるデータも存在しないことになる。重要なデータは極力、一定の安全性が確保された環境で取り扱うことが望ましい。
[やや簡単]・強固な認証を設定
仮にゼロクリック攻撃で狙われた場合、最後の砦となるのがアプリなどの認証。アカウント情報を強固な認証で保護することで安全性を確保できるため、強固なパスワードを設定しておくべき
[ユーザーの運用次第]・セキュリティソフトのインストール
この記事の基記事「キャノンMJ」様の製品をセキュリティソフトの一例として挙げます。
対応:Windows, Mac, Androidを搭載したパソコン、タブレット、スマホ。
*現時点では iPhoneは未対応の模様。(Macのみ対応)
[高度なユーザーのみ]・端末をJailBreak(脱獄)しない
脱獄とは、OSなどのプログラムに手を加えることで、本来ではインストールできないアプリをインストールできるようにすること。ただ、審査が厳しいApp Store 対策としてiPhoneで脱獄する例が広く知られているが、脱獄しないことが防御に。