どこでも働くことのできるEverywhere Enterprise環境での新たなサイバーセキュリティ脅威

ガートナーはこのほど、従業員、ITインフラ、顧客の場所にとらわれない分散型の企業形態を「Everywhere Enterprise」と表現しました。このEverywhere Enterpriseでは、データがいたるところにあり、いたるところで業務が遂行され、従業員がいたるところで顧客と接しています。そしてモバイルデバイスはすべてへのアクセスを提供し、Everywhere Enterpriseの中心となります。

多くの企業が長年、クラウドベースのサービスを利用し、リモートワークを活用し、世界中の顧客に商品やサービスを販売していますが、新型コロナウイルス感染症の流行は、the Everywhere Enterprise model of work型の働き方を急激に加速しました。サイバー脅威の状況も変化し、モバイルデバイスへのサイバーセキュリティ攻撃が増加しています。

たとえば最近話題になったTwitter乗っ取り事件を考えてみましょう。これは、モバイルフィッシングの増加、パスワードの問題、企業のモバイルセキュリティ対策不足を浮き彫りにする、興味深いハッキング事例です。Twitter社の新しい完全リモートワーク制度がハッカーにとって絶好の環境になったことで、Everywhere Enterpriseの抱えるセキュリティ上の課題も顕在化しました。

この事件では、17歳のGraham Clark容疑者 が基本的なハッキングテクニックでTwitter社内のサポートツールに侵入し、セレブや世界的な著名人のアカウントを乗っ取り、ビットコイン詐欺に悪用しました。彼はまず、Twitterの従業員に電話し、自分が同僚だと思わせてユーザー認証情報を聞き出しました。在宅勤務でシステムにアクセスできないと偽り、ログインして仕事をするためにと認証情報を聞き出したのでしょう。

次にSIMスワップと呼ばれる方法でTwitter従業員の電話番号を偽装しました。Twitter従業員に電話して認証情報を詐取した後、今度は電話会社に電話してその従業員を装うのです。なりすますのに必要な情報はすべてSNSから収集したと思われます。そしてカスタマーサポート担当者を信用させ、その従業員の電話番号を自分のデバイスに転送させます。こうすれば、Twitter社がSMSで送信するワンタイムパスワード(OTP)を受信できます。SMSでのOTP送信による認証は、一般的にも広く普及している多要素認証(MFA)の手法です。

システムに侵入した後は、アカウント管理ツールのアクセス権を持つTwitter従業員にフィッシング攻撃をしかけ、ユーザー認証情報を詐取して社内で自分の権限を昇格させます。TwitterはOktaを導入しているので、Graham ClarkはOktaのランディングページにそっくりなサイトを偽造し、そのリンクをTwitterの従業員に送り、そこにユーザー名とパスワードを入力するように誘導しました。従業員がユーザー名とパスワードを入力し、Enterキーを押せば、認証情報が手に入ります。

このように従来の境界型セキュリティがもう役にたたないEverywhere Enterpriseで、ユーザーとデータを保護するにはどうすれば良いのでしょう?MobileIronは、次の3つのソリューションを提供しています。この3つとも、今回のTwitter社のような事件を防ぐのに役立つはずです。まず、MobileIronの統合エンドポイント管理(UEM)ソリューションは、企業のアプリケーションやデータに接続するデバイスが、信頼できる既知の環境に接続していることを確認します。MobileIron UEMは、デバイス、ユーザー環境、アプリの正当性、ネットワークを検証した上で、デバイスやユーザーにセキュアアクセスを許可します。これにより、デバイス上でもネットワーク上でも継続的にポリシーを適用し、データを保護します。

次に、高度なフィッシング対策を実行するMobileIron Threat Defense (MTD)をMobileIron UEMに追加することができます。Twitter社の事件の場合、MTDがあれば、従業員が偽物のOktaランディングページを開くのを防ぐことができたでしょう。MTDは、オンデバイスとクラウドベースのフィッシングURLデータベース検索機能により、企業メール、テキストメッセージ、SMSメッセージ、インスタントメッセージ、SNS、その他のリンクを共有できるアプリすべてにわたってフィッシング攻撃を検出し、修復します。

そしてMobileIronのZero Sign-On (ZSO) ソリューションは、デバイスがMobileIronに登録されていない、またはMTDが実行されていないことを検出し、システムへのアクセスをブロックする条件付きアクセス機能を提供します。また、ZSOはパスワードレスMFAに対応し、生体認証機能を持つセキュアなモバイルデバイスをユーザーIDとするため、パスワードなしで認証が可能で、SMSで送信するOTPも必要ありません。

結論として、Twitter社の事件では、モバイルを中心としたセキュリティプラットフォームがあれば、多くの意味で深刻な被害を阻止できたことになります。今後は、すべての企業がセキュリティ戦略を見直し、Everywhere Enterpriseの中心となるモバイルデバイスを重視する必要があります。ゼロトラストのセキュリティは、ビジネスデータにアクセスするすべてのデバイス、ユーザー、アプリ、ネットワークのセキュリティ、管理、監視に必要なIT制御機能を提供し、エンドユーザーの生産性を最適化します。

詳細は、MobileIronの営業担当者にお問い合わせください

Alex Mosher

Alex Mosher

Global Vice President of Solutions

About the author

Alex Mosherは、MobileIronのソリューション部門グローバルバイスプレジデントです。MobileIronのGoToマーケットプランを担当し、モバイル、セキュリティ、クラウドソリューションの戦略を実行しています。MobileIronに入社する前は、CA Technologiesに12年間勤務し、14億ドル規模のセキュリティビジネス戦略とGoToマーケットプランを担当しました。CA Technologiesが6億1,200万ドルでVeracodeを買収した際にすべての販売と市場計画を統合するグローバルバイスプレジデントを務めました。その後Veracodeは、わずか16カ月後にThoma Bravoに9億6,500万ドルで売却されました。

現在、Alex Mosherは、企業顧客があらゆるプラットフォームとデバイス上でセキュリティ、ID、アクセス、情報を管理するためのアクションプランの開発と実行を行うグローバルチームを統括しています。情報テクノロジー業界における20年の経験から、販売、マーケティング、開発、導入サービスなど、事業のほぼすべての分野で豊富な現場経験を持っています。