スマートフォンを標的としたマルウェアが増加、業務利用端末が企業ネットワークへの侵入口に

背景

スマートフォンやタブレットが業務端末として広く利用される中、モバイルデバイスを標的としたマルウェアや攻撃手法が急速に進化しています。かつてはPC中心だったサイバー攻撃が、Android・iOS端末へと拡大し、銀行アプリを狙ったトロイの木馬、企業メールへの不正アクセス、位置情報やカメラの盗聴など、多様な脅威が確認されています。特にBYOD（私物端末の業務利用）環境では、個人利用と業務利用の境界が曖昧になり、アプリストア外からの不正アプリインストールや、フィッシングSMSによる認証情報窃取など、従来のPC向けセキュリティ対策では防ぎきれないリスクが顕在化しています。

実態

モバイルマルウェアの感染経路としては、公式アプリストアを装った偽サイトからの不正アプリダウンロード、SMS（ショートメッセージ）を使ったフィッシングリンク（スミッシング）、QRコードを悪用した誘導などが主流です。Android端末では「提供元不明のアプリ」インストールを許可している場合、マルウェアが容易に侵入します。特に危険なのは、正規アプリに見せかけた「バンキング型トロイの木馬」で、銀行アプリの画面上に偽のログイン画面を重ね表示し、入力された認証情報やワンタイムパスワードをリアルタイムで窃取します。また、企業向けアプリを装ったスパイウェアは、メール・チャット・ファイルへのアクセス権限を要求し、業務上の機密情報を外部サーバーへ送信します。iOS端末においても、フィッシング攻撃や悪意あるプロファイルのインストールにより、認証情報の窃取やデータアクセスが行われる事例が報告されています。さらに、モバイル端末の脆弱性を突いたゼロクリック攻撃（ユーザー操作なしで感染）も、高度な標的型攻撃で使用されています。感染したスマートフォンが企業VPNやクラウドサービスに接続することで、組織全体のネットワークへの侵入経路となるリスクも無視できません。

影響と対策

モバイル端末の侵害は、個人情報の漏えいだけでなく、企業ネットワークへの不正アクセス、機密メールの窃取、位置情報による行動監視、カメラ・マイクの盗聴など、多岐にわたる被害をもたらします。対策としては、まずMDM（Mobile Device Management）やUEM（Unified Endpoint Management）の導入により、業務端末の一元管理、セキュリティポリシーの強制適用、リモートワイプ機能の確保が不可欠です。FortiClientやCheck Point Harmony Mobileなどのモバイルセキュリティソリューションは、マルウェア検知、フィッシング対策、危険なWi-Fi接続の警告、アプリの脆弱性スキャンなどを提供します。また、ゼロトラスト・ネットワークアクセス（ZTNA）を導入し、モバイル端末からの接続時も端末の健全性を継続的に検証する仕組みが推奨されます。運用面では、公式ストア以外からのアプリインストール禁止、定期的なOS・アプリのアップデート徹底、不審なSMSやメッセージのリンクをクリックしない教育、業務データと個人データの分離（コンテナ化）が重要です。さらに、BYOD環境では利用規約の明確化と定期的な端末セキュリティチェックも欠かせません。

まとめ

スマートフォンはもはや「電話」ではなく、企業の重要な業務端末であり、同時に攻撃者にとって魅力的な標的でもあります。PC並みのセキュリティ対策をモバイル端末にも適用し、管理・監視・教育の三位一体で防御を固める必要があります。PSI社では、ネットワーク製品とモバイルセキュリティソリューションを組み合わせ、BYOD環境を含むモバイル端末の安全な業務利用を実現するための包括的な支援を提供いたします。

会社概要

社名：株式会社ピーエスアイ（PSI）
所在地：〒160-0022 東京都新宿区新宿5丁目5-3 建成新宿ビル4階
設立：1994年
TEL：03-3357-9980
FAX：03-5360-4488
URL：https://www.psi.co.jp
事業内容：サイバーセキュリティ製品の販売および導入支援、運用サポート、ITコンサルティング

報道関係者様からのお問合せ先

株式会社ピーエスアイ
広報担当：内藤
電話番号：（03）3357-9980
Eメールアドレス：psi-press@psi.co.jp