モバイルデバイスの攻撃対象領域は広範で、断片化されており、十分に管理されていません。
どのコインにも両面があります。セキュリティも同じです。攻撃対象領域を防御するには、一方の側の対象領域の状態と、もう一方の側の攻撃の種類と規模の両方を理解する必要があります。
Jamfのモバイルデバイスに関するレポートは、2025年を振り返るもので、まさにこれを行っています。コインの一方では、170万以上のモバイルデバイス(その顧客ベース内)のサンプルグループからiOSおよびAndroidデバイスの状態を検証しています。もう一方では、モバイルデバイスに対する敵対的活動を検証しています(独自の調査とグローバル、国家、および業界イベントから得られた)。
競争環境
企業はモバイルデバイスの使用を拡大しており、非常に機密性の高いデータを収集しています。「医療従事者は患者の訪問時に機密データを収集し、飛行機のパイロットと乗務員はモバイルデバイスを使用して乗客を乗せた航空機の準備と操縦を行い、小売業はモバイルデバイスを販売時点、在庫管理、倉庫業務などに使用しています」とJamfのポートフォリオ戦略担当副社長であるマイケル・コビントンは説明しています。
ソフトウェアの洗練度も高まっています。オペレーティングシステムは独自のファイルシステムを備えたデスクトップオペレーティングシステムのようになってきています。アプリは、Salesforceなどの機密ツールへの常時アクセスを備えた強力なものが可能であり、収集したデータはエンタープライズネットワークにアップロードされるまでローカルに保持できます。
モバイルデバイスは、データソース自体として豊富であると同時に、敵対者がエンタープライズに侵入するための足がかりです。
モバイルデバイスの状態
Jamfが明らかにしたモバイルデバイスセキュリティの失敗の程度は深刻で、個人デバイスと企業支給デバイスの両方に及んでいます。組織の53%が重大に時代遅れのオペレーティングシステムで使用されているデバイスを少なくとも1台持っていた一方、18%は危険なホットスポットに接続した従業員を持っていました。850台に1台のデバイスは脱獄されていました。デバイスの8%がフィッシングリンクをクリックしていました—これを視点に入れると、職場にモバイルデバイスを持つ従業員が100人いる企業は、フィッシングの深刻なリスクにさらされている従業員が8人いることを意味しています。
モバイルデバイスアプリはこの問題を増大させます。2025年12月31日に135の人気アプリの最新バージョンが分析されました。「分析された135個のアプリの約86%は既知のセキュリティ欠陥を持ち、14%のみがリスク最小限と見なされています。これは、日常的に使用される最も一般的なビジネスおよび個人アプリでも、最新バージョンでもリスクが蔓延していることを示唆しています」とJamfは報告しています。一部のアプリは複数の脆弱性を含んでいます。
ただし、アプリからの新しく成長中のリスク—認識されていないシャドウAIの配信があります。定義により、ユーザーもセキュリティチームも、シャドウAIの存在や活動を認識していません。それはサイレントかつ目に見えない方法でサードパーティアプリ内に到着するだけです。これはサイドロードされたアプリにとって特に懸念事項ですが、ほぼ確実に公式アプリストアから取得したアプリでも発生しています。
「シャドウAIは確実に成長中のリスクであり、より良く管理される必要があります。組織内にどのように到着するのか、問題がどの程度広がる可能性があるのかについて、より多くの情報を得ています。しかし、これを完全に制御することができるようになる段階にすら達していないと思います」とコビントンは警告しています。
敵対的活動
モバイルデバイスは明らかに悪い行為者にとって高リスク、高価値の目標であり、Jamfの調査は攻撃者が洗練された攻撃を使用していることを示しています。2025年中のモバイルデバイスを狙ったより有名なスパイウェアには、Predator、Pegasus、Graphite、Dante、Landfall、およびSpyrtacusが含まれます。2026年には、既にCorunaおよびDarkSwordを追加できます。これらの一部は元々商用スパイウェア企業によって開発され、主に国家監視用に使用されていますが、経済的に動機付けられたサイバー犯罪者によっても使用されています。
ゼロクリック攻撃は特にジャーナリストと経営幹部を対象とした敵対者の間で人気があります。重大度スコア10.0のCVE-2025-43300は、画像を解析するだけでiOSのメモリ破損につながる可能性があります。CVE-2025-24201は重大度スコア10.0の別の脆弱性です。後者はメモリ破損も引き起こす可能性があり、または攻撃者がデータを変更して予期しないコードを実行するようにします。
2025年に出現した注目すべきAndroid脆弱性には、メモリの書き換え、クラッシュ、およびコード実行の可能性につながる可能性があるCVE-2025-10585(9.8)が含まれます。追加の実行特権なしでローカル特権昇格につながる可能性があるCVE-2025-48543(8.8)。そしてメモリ破損を引き起こすか、攻撃者がデータを変更して予期しないコードを実行するようにさせることができる範囲外の書き込みにつながる可能性があるCVE-2024-53104(7.8)。
レポートで説明されているリスクの大部分は防御できますが、個々のモバイルデバイスユーザーが常に必要な手順を実行しているわけではないことは明らかです。OSベンダーはCVEにパッチを適用し、セキュリティを改善するために頻繁なOSアップデートをリリースしています。しかし、Jamfのデバイス分析に関連する組織の53%が「重大に時代遅れのオペレーティングシステムを持つ少なくとも1つのデバイスを持っていた」ことを覚えておいてください。そして、企業データストアを脅かす可能性があるのは、1台の侵害されたデバイスだけです。
教訓
レポートの目的は、昨年何が起こっていたのかを説明することだけではなく、拡大するモバイルデバイス攻撃対象領域に伴う複雑さと困難を実証することです。このレポートは単純な歴史的記録と見なされるべきではなく、生きた継続的な比喩と見なされるべきです。
「セキュリティは動く目標です」とコビントン氏はコメントしています。「攻撃者が使用している技術についてさらに学ぶにつれて、私たちは防御を改善します。」これまでのところ、このJamfレポートが示すように、攻撃者は防御者を上回っています。企業がモバイル資産をより適切に制御するまで、これは続きます。
多くの場合、企業はその資産の規模または複雑さを認識していません。「したがって、モバイルデバイスインベントリを持つこと、これらのデバイスがどのように構成されているかを理解すること、ソフトウェアアップデート、オペレーティングシステムパッチ、セキュリティ修正を実装できる適切な制御ポイントを持つこと、それらがすべて実施されていること、そして継続的に実施することがここで支援することに焦点を当てています」と彼は述べました。
後ろを見ることで、Jamfは将来の課題の複雑さを示しています。
翻訳元: https://www.securityweek.com/mobile-attack-surface-expands-as-enterprises-lose-control/
