スマートフォンなどのモバイル機器を狙った脅威に関して、状況はますます悪化している。先日、iPhoneとAndroidユーザーに向けて「もっぱらモバイル機器を標的にして」「認証情報や機密データを盗もうとする」危険な攻撃が確認されているとの警告が発せられた。攻撃を隠す「これまで見られなかった」手段により、今、あなたのスマートフォンは危険にさらされている。この脅威を回避するだけでなく、すでに標的にされている可能性についても考慮する必要がある。
この警告は、米国テキサス州に拠点を置くモバイルセキュリティ企業のZimperium(ジンペリウム)から発表された。同社の調査・開発を行う「zLabs」チームは、この新たな攻撃に関するすべての技術詳細をウェブサイトで公開している。とはいえ、本当に知っておかなければならないことは基本的なことだ。攻撃者は、PDFファイルがメールなどの添付ファイルとして広く普及していることを利用し、既存のセキュリティチェックを回避する新たな技術を使った「悪意あるPDFファイル」を作成してバラ撒いているようだ。
今回の攻撃活動では、例えば米国郵便公社(USPS)からのテキストメッセージを模倣し、標的となるユーザーのモバイル機器に送りつけてくる。しかし、偽の送信者を騙ることは最も簡単に変更できる点だ。だから、たとえ送信元が有名な企業やブランドであっても、それが間違いなく本物であると確信できる場合を除いて、添付されているPDFファイルを開かないようにするべきだ。
なぜなら、PDFファイルは今や、契約書、報告書、マニュアル、請求書、その他の重要な書類として、ビジネス上のやりとりで広く利用されているため、「PDFファイルはすべて安全であるという、危険な思い込みを自然と身に着けてしまっている」と、Zimperiumは警告する。そして今、サイバー犯罪者はその誤った信頼感を積極的に悪用しているのだ。この数カ月の間に、他にもPDFファイルを使った攻撃が発生していることを考えると、ユーザーの信頼感はすでに変化していると期待したいが、おそらくZimperiumが指摘するとおりであることが危惧される。
