ここ数週間、スマートフォン利用者に向けて、各国のサイバー当局から数多くの警告が出されている。メッセージのやり取りには暗号化されたメッセージアプリだけを使うこと。SMSによるセキュリティコードはもう使わないこと。商用の個人向けVPNサービス(一般消費者向けの市販VPNサービス。運営者の信頼性やセキュリティに問題があるものも多く、後述の「信頼できるVPN」とは区別される)は避けること。そして、できるだけ早くスマートフォンをアップデートすること――ちょうど今週はそれがとりわけ重要になっている。しかし、今度はそれだけでは済まない。“使用していないとき”には「Wi‑Fi機能を完全に無効化する」よう求められているのだ。
上記の助言の大半は、米国のサイバー防衛機関であるCISAから出されたものだが、最新のもの、特にWi‑Fiについては英国の機関と連携して発表されたフランスの同等機関CERT‑FRによるものだ。Wi‑Fiについての助言はこれまでも数多くあったが、インターフェース(機能)そのものを完全に無効化せよというのは新しい。VPNについては、CISAとCERT‑FRとで見解が異なり、CISAは個人向けVPNを非推奨としており、CERT‑FRは「信頼できるVPN」(既知かつ管理されたVPN)を推奨している。
「こうした日常的に使われるデバイスには複数の脆弱性が存在し、デバイスのアーキテクチャの複数の層にわたって広範な攻撃対象領域(攻撃界面)があるのです」とCERT‑FRは述べる。「これらの脆弱性は、無線インターフェース、アプリケーション、オペレーティングシステム、さらにはハードウェア部品の内部にさえ存在している可能性があります」。
CERT‑FRはあらゆる点をカバーしており、そこに並ぶ助言の多くは、もはや読者にもおなじみのものだろう。アプリは公式ストアからのみインストールすること、アプリの権限設定を確認すること、スマートフォンをアップデートして再起動すること、公衆Wi‑Fiの利用時は信頼できるVPNを使うこと、そしてそうしたネットワークに自動接続しないこと、などである。
いわゆる「juice jacking」(ジュース・ジャッキング)にも触れている。これは公共の充電スタンドからの脅威で、米国の運輸保安庁TSAも今年警鐘を鳴らしたものだ。CERT‑FRは「充電器とスマートフォンの間に『信頼できるUSBデータブロッカー』を挟んでいない限り、こうした充電は行うべきではありません」と警告する。また、「たとえば充電中など、スマートフォンを放置しておくときには、完全に電源を切っておくべきです」ともしている。
