iPhoneとGalaxyを狙う見えない攻撃の実態 53%の企業で“古いOS”放置:「公式アプリ」でも安全ではない?
Jamfの調査によって、53%の企業が脆弱な古いOSのデバイスを使用している実態が明らかになった。何も操作しなくてもデバイスが乗っ取られる「ゼロクリック攻撃」などの脅威から、自社のデータを守るには。
場所を選ばない働き方が定着する中、モバイルデバイスは業務効率化の要になっている。一方で、社外ネットワークの利用や私用端末の業務利用(BYOD)の普及は、企業のサイバーセキュリティにおいて制御困難な死角を生み出している。
モバイルデバイスの管理・保護サービスを手掛けるJamfは、調査レポート「セキュリティ360:最新トレンドレポート モバイルデバイス」を公開した。本調査は、同社製品で保護されている世界各国の170万台を超える「iOS」および「Android」デバイスを対象に、2025年中の稼働データを集計、分析したものだ。
レポートによると、OSのバージョンが古く、セキュリティパッチが適用されていない危険な状態のデバイスを1台以上使用している企業の割合は53%に上る。18%の企業で従業員がセキュリティリスクのある無線LANスポットに接続しており、25%の企業では従業員がフィッシングリンクを踏んだ事実が確認されている。全体の8%のデバイスで、実際にフィッシングリンクをクリックされていたことも分かった。
基本的なアップデートやネットワークの安全確認が徹底されていないデバイスは、攻撃者にとって格好の標的になる。エンドユーザーが操作しなくてもデバイスが乗っ取られる「ゼロクリック攻撃」の実態や、AI技術の普及に伴う新たな死角などに備えるための、企業が講じるべき防衛策を解説する。
アプリケーションとOSに潜む脆弱性の連鎖
併せて読みたいお薦め記事
モバイルセキュリティの実践
デバイスの安全性を脅かす最大の要因は、ソフトウェアの脆弱(ぜいじゃく)性だ。OSは細心の注意を払って開発されているものの、複雑なソースコードには欠陥が入り込む余地が常に存在する。
例えば、「iOS 18.4.1」で修正された脆弱性「CVE-2025-31200」では、悪意を持って作成された音声ファイルを受信するだけで、エンドユーザーの操作なしに悪意あるコードが実行される危険性があった。攻撃者はこのような脆弱性を連鎖的に悪用し、不正なメモリアクセスからデバイスの完全な乗っ取りへと段階を進める。
アプリケーションのリスクも見過ごせない。Jamfがモバイルアプリケーションのセキュリティ評価を実施するNowSecureと共同で、広く利用されている135種類の業務用および個人用アプリケーションを調査した結果、86%のアプリケーションに何らかのセキュリティ欠陥が存在した。リスクが最小限と評価されたのはわずか14%にとどまり、全体の95%には重大度「中」の脆弱性が含まれていた。たった1つの脆弱性であっても、他の欠陥と組み合わされることで致命的な情報漏えいにつながる。
調査では、62%のアプリケーションがカメラや位置情報などの機微なデータへの危険なアクセス許可を要求しており、21%のアプリケーションでプライバシー侵害につながる動作が確認された。これらは公式のアプリケーションストアを経由して導入されたものであっても、開発者が利用するサードパーティー製ライブラリの欠陥によって、意図せずデータを外部に漏えいさせているケースがある。分析対象の全アプリケーションにおいて、過去に脆弱性が確認されているライブラリの使用が特定されている。従業員が非公式のアプリケーションストアを利用している企業は2%存在しており、AppleやGoogleの厳しい審査を経ていない不正アプリケーションが入り込む隙を生んでいる。
エンドユーザーの隙を突くネットワーク攻撃とAIのわな
強固なデバイスを導入していても、ネットワークの利用方法によってはデータが危険にさらされる。フリーアクセスの無線LANなどの暗号化が不十分な通信環境は、中間者攻撃(AitM攻撃)の温床となる。調査対象の5%の企業で、AitM攻撃を受けたユーザーが存在した。同様に5%の企業で、デバイスの処理能力を不正に暗号資産のマイニングに悪用するクリプトジャッキング攻撃を受けたデバイスが見つかっている。
フィッシングの手口も巧妙化している。生成AIの普及によって、極めて自然で信ぴょう性の高い偽のメッセージが作成できるようになり、銀行や金融サービスなどを装った攻撃が後を絶たない。
業務アプリケーションへのAI機能の組み込みが新たなリスクを生んでいる。テキスト生成や画像認識などの便利さの裏で、外部のクラウドAIサービスを利用する際のデータ漏えいリスクや、悪意のある命令を紛れ込ませるプロンプトインジェクション攻撃への懸念が高まっている。オープンソースのAIエージェント構築フレームワーク「OpenClaw」などにおいて、十分なセキュリティ境界が設けられていない場合、社内システムに対する重大なインサイダー脅威になり得る。
標的を絞る「ゼロクリック攻撃」の高度化
こうした複数の脆弱性やネットワークの隙を組み合わせ、経営幹部やジャーナリストなどを狙う持続的標的型攻撃(APT攻撃)が活発化している。とりわけ脅威になっているのが、エンドユーザーの操作を一切必要としないゼロクリック攻撃だ。
商用スパイウェア「Predator」は、Webブラウザの脆弱性を執ように悪用するだけではなく、iOSのシステムに深く介入し、カメラやマイクの録画・録音インジケーターを無効化する高度な工作を備えていることが2026年2月に確認された。デバイスが監視されていても、エンドユーザーは気付くことができない。
Androidデバイス、特にSamsung Electronicsの「Galaxy」を標的としたスパイウェア「Landfall」は、画像処理ライブラリのゼロデイ(パッチ未配布)脆弱性を悪用し、長期間にわたって音声録音や位置情報の追跡をひそかに行っていた。これらの事例は、攻撃者が豊富な資金と技術力を持ち、OSベンダーの対策を常に回避しようとしている事実を示している。
被害を防ぐための多層防御
ベンダーもセキュリティ強化に努めているが、攻撃者とのいたちごっこは続いている。そのため、企業はデバイスの管理とネットワーク保護を集約した多層的な防衛策を自ら講じなければならない。Jamfは、効果的な抑止力として3つの対策を推奨している。
第一に、モバイルデバイス管理(MDM)ツールを利用し、全デバイスのOSやアプリケーションを強制的に最新状態に保つことだ。コンプライアンスを満たさないデバイスは、安全が確認されるまで自動的に隔離する仕組みが必要になる。調査では850台に1台の割合で、OSの制限を不正に解除した「ジェイルブレーク」状態の業務用デバイスが存在することも確認されている。こうした不正なデバイスを検出し、アクセスをはじく制御が不可欠だ。
第二に、個人所有のデバイスを活用する場合は、強固なコンテナ技術を用いて業務データと個人データを明確に分離することだ。これによって、プライバシーを侵害することなく、データ損失防止(DLP)ポリシーを適用できる。
第三に、全ての通信を暗号化されたトンネル経由にするとともに、DNSフィルタリングを導入して不正な無線LANへの接続やフィッシングサイトへのアクセスを水際で遮断することだ。
攻撃の手口がどれほど高度化しても、システムの隙をふさぐ基本の徹底が、情報漏えいを未然に防ぐ最大の防御壁になる。企業のセキュリティ基準を見直し、リスクを継続的に監視する体制の構築が急務だ。
Copyright © ITmedia, Inc. All Rights Reserved.
本記事は制作段階でChatGPT等の生成系AIサービスを利用していますが、文責は編集部に帰属します。