出典:SOPA Images Limited(Alamy Stock Photo経由)
従業員が私用の携帯電話を業務に使用することによる企業のサイバーセキュリティリスクは増加していますが、企業はそれに対応するソリューションの導入が十分に進んでいません。
Verizon Businessの2025年版モバイルセキュリティインデックス(MSI)で収集されたデータは、しばしば見過ごされがちな組織のセキュリティリスクを明らかにしています。人々は私用の携帯電話でハッキングされ、その攻撃を雇用主に伝播させています。しかし雇用主側は、デスクトップ由来のリスクほど熱心にこの問題に取り組んでいません。
さらに、企業が無視しているモバイルセキュリティソリューションは、実際には攻撃の成功率や被害の軽減に効果を発揮しています。
携帯電話へのサイバー攻撃とスミッシングの増加
最近、未払い通行料に関するSMSや期限切れのオファー、フリーランスの仕事の勧誘などのメッセージが多く届いていませんか?
Verizon Businessのグローバルサイバーセキュリティソリューション担当副社長のクリス・ノバック氏は、ハッカーが新たな手口を見つけたと指摘します。少なくとも現時点では、スミッシング(SMSフィッシング)はメールフィッシングよりも効果的です。その理由の一つは「人々はこれらのデバイスをより信頼しがちです。その結果、リンクをクリックしたり、フィッシングの論理に従ってしまう傾向が強いのです。」
さらにノバック氏は、「スミッシング攻撃は文脈がほとんどありません。私たちは皆、メールがどのようなものかに慣れており、怪しいメールを見分けられるようになっています。しかし、テキストでフィッシングメッセージが届くと、認識度が非常に低いのです。そのため、出来の悪いスミッシングでも、よくできたフィッシングメールより信じやすくなります。」と付け加えます。
2025年版MSIの調査対象となった組織の80%が、従業員に対するスミッシング攻撃の試みを報告しています。偶然ではないと思われますが、80%の組織が従業員にスミッシングのシミュレーションテストを実施しています。しかし、従業員がフィッシングシミュレーションに約10%の割合で失敗する—これより少ないまたは多い場合もあるものの、10%以下の従業員しかスミッシングテストに引っかからなかったと報告した企業はわずか10%でした。5社中2社では、全従業員の4分の1から半数がスミッシングテストに失敗しています。9%の企業では、半数以上の従業員が失敗しました。
スミッシングとフィッシングの違いにとどまらず、人々は一般的にモバイルセキュリティをノートパソコンほど重視していません。個人レベルでもノバック氏は「人々はモバイルデバイス上で、私たちが推奨しないことをやり続けています。たとえば、パスワードをメモアプリに保存したりしています。」と述べています。
彼は「こんなことを言う人がいて、いつもぞっとするのですが、何かを開くべきか、クリックすべきか迷ったときは携帯電話からやるそうです。それは、何も起こらないと信じているからです。ですから、他のデバイスと同じようにセキュリティを適用する必要がないという誤解や誤情報が、まだ多く存在していると思います。」と振り返ります。
私用・業務用携帯電話へのサイバー脅威が放置されている
組織は、差し迫ったモバイルセキュリティリスクに見合った対策を講じることができます。しかし、ほとんどの企業はそうしていません。
雇用主は業務用パソコンを支給する割合が、業務用携帯電話を支給する割合よりもはるかに高いです。2023年、サムスンの調査によると、従業員の一部に業務用携帯電話を支給している企業は50%未満で、全従業員に業務用携帯電話を支給している企業はわずか15%でした。したがって、2025年版MSIで報告されたモバイルサイバー攻撃の70%が業務用ではなく私用携帯電話に影響を与えているのも驚くことではありません。
ただし、業務用携帯電話にもリスクはあります。企業がフィッシング攻撃から守られている唯一の理由は、それが比較的管理された環境で発生するからです。つまり、業務用パソコン、会社のネットワーク、特定の時間帯、導入されているセキュリティツールの監視下で行われます。「しかし、多くの人が業務用モバイルデバイスを勤務時間外や休暇中にも持ち歩いています」とノバック氏は指摘します。 業務外での業務用携帯電話も私用携帯電話と同様の脆弱性にさらされ、「つまり、いつでも攻撃される可能性があるということです。また、判断力が鈍っているタイミング、たとえば気が散っていたり、他のことに気を取られているときに狙われる可能性もあります。」
Verizonの2025年版MSIは、リスク分析の実施、ゼロトラスト哲学の遵守、モバイルデバイス管理(MDM)の導入など、モバイルセキュリティのベストプラクティスを8つのカテゴリーに分類しています。これらを組み合わせることで、著しい効果が得られると著者らは主張しています。8つすべてを実施している組織は、システムダウンタイムを引き起こす侵害を経験する確率が半分(24%対46%)になり、「重大な影響」を受ける確率も5分の1以下(12%、8つすべて未実施の場合は63%)になります。
「多くの組織はノートパソコンやデスクトップ、サーバーのセキュリティに多大な投資をしています」とノバック氏は言います。「それらの環境で何が起きているかを監視し、テレメトリを収集するためのさまざまなツールや技術を導入しています。しかし、モバイルセキュリティの水準を同等にするのに苦労している組織が多いのが現状です。その結果、多くの組織ではインシデント発生時の検知能力が低くなっています。検知までの時間が長くなり、迅速な対応が難しくなる場合もあります。」
翻訳元: https://www.darkreading.com/threat-intelligence/verizon-mobile-blindspot-data-breaches
