ENISA Information security risks, opportunities and recommendations for users

　こんにちは、丸山満彦です。会社の同僚に教えられていたENISAのスマートフォンのセキュリティ関係の資料、斜め読みのまま放置されていましたが、やっと読み終わりました。。。VIDEOも聴きました。。。

　
■ENISA
・2010.10.12 Security in smartphones: risk, opportunities & recommendations - new report launched.
　●REPORT

・2010.10.12 New video on smartphones security released.
　●VIDEO

報告書の目次
＝＝＝＝＝
Table of contents
1. Introduction
2. Information security risks
3. Information security opportunities
4. Information security recommendations
5. Conclusions
6. Appendix: Vulnerabilities
7. References to other related best practice guides
Bibliography
＝＝＝＝＝

Exective Summaryでリスクについては、次のようにまとめていますね。。。
＝＝＝＝＝
 R1 Data leakage: a stolen or lost phone with unprotected memory allows an attacker to access the data on it.
 R2 Improper decommissioning: the phone is disposed of or transferred to another user without removing sensitive data, allowing an attacker to access the data on it.
 R3 Unintentional data disclosure: most apps have privacy settings but many users are unaware (or do not recall) that the data is being transmitted, let alone know of the existence of the settings to prevent this.
 R4 Phishing: an attacker collects user credentials (e.g. passwords, creditcard numbers) using fake apps or (sms,email) messages that seem genuine.
 R5 Spyware: the smartphone has spyware installed allowing an attacker to access or infer personal data. NB spyware includes any software requesting and abusing excessive privilege requests. It does not include targeted surveillance software (R7).
 R6 Network spoofing attacks: an attacker deploys a rogue network access point and users connect to it. The attacker subsequently intercepts the user communication to carry out further attacks such as phishing.
 R7 Surveillance: spying on an individual with a targeted user’s smartphone.
 R8 Diallerware: an attacker steals money from the user by means of malware that makes hidden use of premium sms services or numbers.
 R9 Financial malware: malware specifically designed for stealing credit card numbers, online banking credentials or subverting online banking or ecommerce transactions.
 R10 Network congestion: network resource overload due to smartphone usage leading to network unavailability for the end-user.
＝＝＝＝＝

当然ですが、計算処理機器にソフトウェアがのっかったものがインターネットに接続されているという構造を考えれば、PCの時と同じ話になりますね。。。

　問題は、PCと比較したときに脅威と脆弱性、対策の強さがあるのかということだと思います。しかも、それは日々変化しています。。。

Comments

丸山　様

夏井です。

スマートフォンは携帯電話型をした無線通話機能付の小型PCなので，セキュリティ上の問題等についても普通のPCとほとんど同じになるのは当然のことですね。

スマートフォンにおける最大の脅威は「利用者の意識」です。そして，「利用者の意識」を正しく形成しようとせず，利便性や格好良さだけを強調する派手な商業宣伝広告を打ちまくっている企業の姿勢にも大きな問題があると考えます。OECDのガイドラインにもあるように「セキュリティの文化」を明確に意識したビジネス活動をすべきですね。

スマートフォンの利用者は，自分が利用しているデバイスが携帯電話の形をしていることから，単なる電話機の一種だと思ってしまい油断しがちです。そのため，スマートフォンがPCの一種であること，したがって，普通のPCと同じような攻撃等があり得ること，それゆえ，普通のPCと同じようにコストを負担してセキュリティを確保しなければならないことなどを認識または意識しないことが多いと思われます。

それゆえに，ちゃんと注意していれば避けることのできる攻撃等を簡単に許してしまう結果となります。有害コンテンツ等の問題についても，携帯電話では簡単にブロックできるものがスマートフォンでは基本的にブロックできなくなってしまうことが多いです。

とりわけ，スマートフォンを利用する未成年者及びその保護者に対しては，通常のPCにおけるのと同じようなレベルでのセキュリティ教育を実施し，スマートフォンには多種多様な危険も伏在しているということを正しく認識・理解させるべきだろうと思います。

Posted by: 夏井高人 | 2011.01.01 09:35

夏井先生、コメントありがとうございます。
＝＝＝＝＝
「利用者の意識」を正しく形成しようとせず，利便性や格好良さだけを強調する派手な商業宣伝広告を打ちまくっている企業の姿勢にも大きな問題があると考えます。
＝＝＝＝＝
そうだと思います。
＝＝＝＝＝
普通のPCと同じようにコストを負担してセキュリティを確保しなければならない
＝＝＝＝＝
ということを普通に理解することから始めることが重要なんでしょうね。。。
（もちろん、理解した後に行動しなければなりませんが。。。）

Posted by: 丸山満彦 | 2011.01.01 11:08