モバイル デバイスの普及と、従業員が業務関連の活動に個人用デバイスを使用するハイブリッドな作業環境の拡大により、Verizon モバイル セキュリティ インデックス 2022 の回答者のほぼ半数 (45%) が、モバイル デバイスに関連するセキュリティ インシデントによりデータ損失、ダウンタイム、その他の悪影響が発生したことがあると回答しており、これは 2021 年の数値より 22% 増加しています。
回答者の73%は攻撃の影響は「重大」だと回答し、42%は影響が長引いたと回答した。報告書によると、2021年には、事件の半分以下が「重大」とされ、影響が長引いたとされるのはわずか28%だった。
このような結果にもかかわらず、回答者の 36% は、モバイル デバイスはサイバー犯罪者にとって他の IT 資産ほど関心がないと回答しており、これは 2021 年の MSI レポートから 6 パーセント ポイント増加しています。
「モバイルはこれまで情報セキュリティチームから見過ごされてきました。主な理由は、これらの最新デバイスは本質的に安全で、従来の脅威から保護されていると認識されていたためです」と、MSIレポートに寄稿したAppleデバイス管理会社Jamfのポートフォリオ戦略担当バイスプレジデント、マイケル・コビントン氏は述べています。「しかし、現実にはモバイルデバイスは常にオンで、常に接続されており、常にリスクにさらされています。」
安全でないネットワークは依然として問題
レポートによると、VPNやその他のセキュリティ対策を講じずにアクセスする公衆Wi-Fiなどの安全でないネットワークは、モバイルデバイスのセキュリティにとって依然として深刻な脅威となっています。攻撃者は、ハッカーが設置・管理する不正なWi-Fiホットスポットやその他のアクセスポイントにユーザーを誘導することで、中間者攻撃を仕掛けることができます。モバイル関連のセキュリティ侵害を受けた回答者の大多数(52%)は、ネットワークの脅威が一因であると回答しています。
従業員の約40%がほぼ毎日オフィスを離れているため、自宅のWi-Fiやブロードバンド接続を利用した業務が増えています。回答者の大多数(85%)は、自宅のWi-Fi、携帯電話ネットワーク、ホットスポットの利用を組織で許可しているか、禁止するポリシーがないと回答しました。68%の組織は、公共Wi-Fiの使用を禁止するポリシーを持っていません。
参照: BYOD承認フォーム (TechRepublic Premium)
2022 MSIレポートで引用されているProofpointの2022 State of the Phish調査によると、オーストラリア、フランス、ドイツ、日本、スペイン、英国、米国の3,500人の働く成人を対象にした調査で、ほとんどの従業員または組織が自宅のWi-Fiネットワークを保護するための基本的なセキュリティ対策を講じていないことがわかりました。
回答者の大半(62%)は自宅のネットワークのセキュリティについては心配していないと回答し、残りの回答者の約90%はWi-Fi接続を安全にする方法を知らないと回答しました。
「モバイルデバイスは今や私たちの仕事に不可欠な存在です」と報告書は述べています。「機能の向上と広範な接続性により、デスクトップや携帯情報端末(PDA)の時代よりもはるかに多くの情報やツールにアクセスできるようになりました。クラウドベースのアプリケーションの成長も一因となり、画面が小さくても性能が劣るということはもはやありません。」
クラウドアプリが一因
クラウドベースのサービスの利用も同様に、モバイルセキュリティの課題を引き起こしていると報告書は指摘しています。モバイルデバイスのユーザーインターフェースが簡素化されているため、フィッシング攻撃を仕掛ける攻撃者が従業員の認証情報を容易に入手できてしまいます。従業員は、SMS、ソーシャルメディアプラットフォーム、サードパーティ製のメッセージングアプリなど、複数のアプリを通じて標的にされる可能性があります。
同様に、アプリの数が増え続けるにつれ、Google PlayやAppleのApp Storeなどの公式ストアからダウンロードされた悪意のないアプリでさえも脅威となる可能性があります。モバイル関連のセキュリティ侵害を受けた回答者のほぼ半数(46%)が、アプリが一因であると回答しました。
参照:iCloud vs. OneDrive:Mac、iPad、iPhone ユーザーに最適なのはどちら?(無料 PDF) (TechRepublic)
人間的要素は依然として問題
侵害の大半(82%)は、人間が関与しています。ハッカーが盗んだ認証情報を利用したり、ユーザーに悪意のあるリンクをクリックさせたり、フィッシング詐欺でマルウェアを含んだファイルをダウンロードさせたりと、人為的なミスがインシデントや侵害を引き起こし続けています。
「モバイルセキュリティは、ITセキュリティ上の新たな悩みの種となる必要はありません。モバイルリスクの抑制を目指す組織は、ポリシーと手順の見直しから始めるべきです」と、彼は述べています。「モバイルを利用規定やセキュリティ要件の適用除外とするのではなく、企業はモバイルを他のエンドポイントと同様に扱うべきです。」
レポートについて
Verizon Mobile Security Index 2022の調査結果は、セキュリティ戦略、ポリシー、および管理を担当する632名の専門家を対象とした独立調査に基づいています。Verizonによる分析に加え、Absolute、Check Point、IBM、Ivanti、Jamf、Lookout、Netskope、Proofpoint、Thalesといったセキュリティおよび管理企業からの知見とデータも含まれています。
