※2023年5月24日付のJBpressの記事を一部変更して掲載しています。

 

 

スマートフォンユーザーを標的にしたサイバー攻撃

 

サイバー攻撃が飛躍的に増加している中、スマートフォンを標的にした攻撃も増加の一途を辿っている。

 

最近、トレンドマイクロは、大規模なサイバー犯罪組織が販売前のAndroidデバイスにマルウェアをプリインストールし、その数は約890万台にものぼると報じている。マルウェアに感染したAndroidスマートフォンを利用して利益を上げている「Lemon Group」の仕業だ[1]。

 

「Lemon Group」はビッグデータ、マーケティング、広告向け事業を提供しており、マルウェアによってSMSの傍受、Facebook関連のCookieやWhatsAppセッションの取得、広告の挿入、サイレントインストールなどを実行でき、これにより不当に利益を得ることができるという。

 

さらに、Android向けのマルウェアとして「Hook」という、感染した端末のリモートコントロールが可能となるものがある。$5,000/monthで、ダッシュボードから感染端末をリモートコントロールできるダークサービスだ[2]。

 

 

スマートフォンへのマイナンバーカード機能搭載開始による期待と不安

 

デジタルセキュリティが益々重要となる中、2023年5月11日にはAndroid向けにマイナンバーカード機能の搭載が始まった。Androidにマイナンバーカードの電子証明書が格納されたことで、プラスチックのマイナンバーカードなしでマイナポータルへのログインやコンビニエンスストアでの各種証明書の交付、さらには医療機関側の対応を要するものの健康保険証としての利用などが可能となった。一層の利活用は今後に期待するところが大きいが、益々活用の幅は広がっていくであろう。

 

一方で、例えば、上述の「Hook」マルウェアのように感染端末のリモートコントロールを受けると、第三者がマイナアプリを起動し、格納されている電子証明書を活用することで、本来であればログインできないスマートフォン所有者のマイナポータルなどにログインし、プライベートな情報を閲覧したり、詐取したりすることができてしまわないかという懸念が生じる。

 

直近、マイナポータルで確認できる情報として「薬剤・健診情報」や「母子健康手帳」情報などが追加された。リモートコントロールによってこれらの情報が閲覧・詐取されるリスクにも備えておかなければならない。

 

 

 

マイナンバーカードをめぐるトラブルとデジタルセキュリティ

 

マイナンバーカードの利活用はデジタル化の要であり、デジタルIDはグローバルで今後のトレンドでもある。米国では、iPhoneでアリゾナ州やコロラド州、メリーランド州で運転免許証のスマートフォンへの搭載が始まった[3]。  今後こういった動きは一層の広がりを見せるだろう。

 

一方で、最近、マイナンバーカードをめぐるトラブルが続いているのが現状だ。別人の医療情報を閲覧できたり、コンビニで別人の住民票を受け取ってしまったりという事態が発生した。個々のトラブルの原因を追究すると、ベンダーのシステム設計の問題や健康保険組合の入力ミスによるものであったが、一見些細なミスが個人情報の流出といった大きな社内問題になりうる。将来的なサイバー攻撃などセキュリティ事案の発生につながる可能性も否定できない。

 

また、健康保険証を廃止するに伴い、マイナンバーカードの健康保険証としての役割も重要となるが、健康保険のオンライン資格情報の誤登録が発生し、「該当資格なし」と表示される事象が生じた。「該当資格なし」と窓口で表示されてしまえば、窓口で一旦医療費全額（10割負担）をせざるを得ないという現実世界でのトラブルが発生するかもしれない。

 

また、利活用の拡大に関して、生保協会が22年12月にマイナンバーカードやそのスマートフォン搭載に寄せる期待を調査したによれば、スマートフォンで利用できる生命保険会社のサービスの利用の可能性に6割の回答者が期待を寄せているが、保険会社から外部への情報ろうえいなどを懸念して利用を控える声も4割にのぼった。デジタルIDの活用においては、足元のデジタルセキュリティを万全に固める必要があるだろう。

 

冒頭の「Lemon Group」が頒布したようなマルウェアは、一個人には防ぎようがない。さらに個人が警戒しつつも引っかかりうるものとして、情報詐取を企図したフィッシングアプリやメッセージ、身代金請求アプリなどがあり得るだろう。コロナ禍において、カナダ保健省が提供した公式の新型コロナウィルス感染症の接触確認アプリに偽装し、ユーザーを騙してアプリをインストールさせ、デバイス上のファイルを暗号化し、身代金の支払いを要求するランサムウェアが頒布された。こういった偽のアプリなどは、マイナンバーカードの利活用が拡大して行けば行くほどそのリスクが高まる。

 

 

マイナンバーカードのスマートフォン搭載で遅れを取らないために

 

今国会ではマイナンバーカードの番号自体の使途拡大を目的とした法改正も行われた。今後ますます、マイナンバーカードを取り巻くデジタルセキュリティの確保が重要となる。

 

2023年5月16日、全国消費者団体連絡会は、「今後もスマートフォンを安心して利用できるよう・・・マイナンバーカードを扱うスマートフォンのセキュリティ対策が万全なものとなるよう対策を講じる必要」があり、「サイドローディングなどスマートフォンOSのセキュリティリスクが拡大する恐れのある議論も行われていると承知していますが、政府内で緊密に連携の上、消費者をリスクに晒すことないよう、万全を期す」べき旨を関係各所に要請している。Androidのマイナンバーカード搭載に加えて、iPhoneも今後搭載が検討されていると報じられている。

 

これらの政策議論が現行のスマートフォンのOSの再設計を求めるようなことになれば、デジタルセキュリティの確保に支障が出ることで未搭載のiPhoneへの搭載が遅れる事態もありうるだろう。日本のデジタルセキュリティに関わる政策が矛盾しない形で慎重になされることを望みたい。

 

 

 

デジタルセキュリティと安全保障

 

近年、国家支援型のマルウェアの増加にも留意する必要が高まっている。国家主導のハッキングの主体は、北朝鮮や中国のハッカーグループやスパイウェア開発のイスラエル企業など様々だ。

 

成功裏に閉幕したG7広島サミットにはウクライナのゼレンスキー大統領が来日し、必要とされる限り支援する首脳間の結束が示された。ロシア・ウクライナ戦争ではサイバー戦が重要な位置づけとなっている。デジタルセキュリティの分野においても同盟国である日米両国の一層の連携強化が望まれるだろう。

 

 

[1] 「890万台のAndroidデバイスにマルウェアがプリインストール、注意を」、2023年5月23日、TECH+

[2] 「New ‘Hook’ Android malware lets hackers remotely control your phone」、2023年1月19日、BLEEPINGCOMPUTER

[3] 「iPhone Driver’s License Feature Slow to Expand, Only Available in Three States」、2023年3月6日、MacRumors

 

 

株式会社オウルズコンサルティンググループ
プリンシパル
佐藤 維亮