あなたはどのくらいの頻度で、スマホの電源をオフにしているだろうか? これは待ち受け状態にするのではなく、完全に電源を切ってから再起動するということだ。OSのアップデートなどが必要になったときだけという人も多いのではないだろうか。NSAによるとそれは大きな間違いである可能性がある。
NSAが推奨するベストプラクティス
NSAは、モバイル機器のベストプラクティスを詳細に説明した資料の中で、ゼロクリック攻撃を防御するために、毎週1回は再起動を行うことを推奨している。ユーザーは、マルウェアやスパイウェアをインストールされることにつながる「スピアフィッシング」と呼ばれる詐欺行為による脅威も、この簡単な操作によって軽減できる。ただし、この再起動によって攻撃を防ぐことができるのは「時々」だとNSAは警告している。
「モバイル機器に対する脅威はより広く行き渡るようになり、対象範囲も複雑さも増している」とNSAは説明し、スマートフォンの一部の機能は「便利さと機能を提供する代わりに安全を犠牲にしている」と警告した。つまり、自分のデバイスとデータの安全性に関して事前に対策することに関して言うなら、何かした方が、何もしないより絶対に良いということだ。
注意しなければならないのは、このアドバイスは、セキュリティ上の問題をすべて解決する特効薬ではない、ということだ。実際、NSAの文書には、各戦術がさまざまな脅威に対してどの程度効果的かを示した表が含まれている。一般的なアドバイスとしては良いが、再起動時に再読み込みするようにプログラムされた、より高度なマルウェアやスパイウェアの脅威の多くに対しては、電源を切って入れ直したところで何の役にも立たないだろう。
便利さと安全性のバランス
NSAはまた、スマートフォンのユーザーに対し、使用していないときはBluetoothを無効にすること、OSやアプリケーションのアップデートが利用可能になったらできるだけ早く端末をアップデートすること、不要なときは位置情報サービスを無効にすることを勧めている。すでにお分かりのように、こうしたアドバイスの多くには「利便性よりもセキュリティ」という趣旨がある。公共のWi-Fiネットワークは使わない、公共の充電ステーションは使わないなどの対策は、多くのセキュリティ専門家が実際には効果が薄いと考えており、多くのユーザーもそうした行為を止めはしないだろう。公共のWi-Fiに関しては、存在し得るリスクと実際に個人が危険にさらされることとの間に違いがある。犯罪者が安全でないネットワークを悪意のある目的のために利用することは可能だが、これは通常、鉄道会社や空港、コーヒーショップが提供するWi-Fiホットスポットを使うということではなく、ユーザーを騙して自分のWi-Fiホットスポットに接続させることを伴う。SSID混乱攻撃(SSID confusion attack)と呼ばれる脆弱性は、これがどのように機能するかを示す良い例だ。この攻撃は、特定の状況下でVPNを無効にし、実際にはセキュアなネットワークに接続していないのに、あたかも接続しているように見せることができる。しかし、繰り返しになるが、ほとんどの保護されていない公衆WiFiネットワークは、一般的な活動に使う分には安全だ。英国の国家サイバーセキュリティセンター(NCSC)は、モバイルの4Gまたは5Gネットワークを使うことを勧めているが、これは例えばオンライン・バンキングなどの機密性の高い活動を行う際には理にかなっている。Reddit(レディット)には、さらに詳細な情報を得るために事実を掘り下げた素晴らしいスレッドがある。
とはいえ、私は電源のオン・オフを繰り返すというアドバイスには心から同意する。実際、そうするには数分しかかからないのだから、就寝前の日課として毎日再起動する習慣を身につけることをお勧めする。
