米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は12月18日(米国時間)、「(PDF) Mobile Communications Best Practice Guidance」において、モバイル通信のベストプラクティスガイダンスを発表した。

これは米国の大手通信事業者「Verizon」「AT&T」「Lumen Technologies」など複数の事業者が、中国の国家支援を受けているとみられる脅威グループ「Salt Typhoon」に侵害された事案を受けてのもの。

攻撃の目的は「米国政府の合法的なネットワーク盗聴要請に使用されるシステム」への不正アクセスを介した情報収集とみられている(参考:「AT&T, Verizon reportedly hacked to target US govt wiretapping platform」)。

  • (PDF) Mobile Communications Best Practice Guidance

    (PDF) Mobile Communications Best Practice Guidance

ガイダンスの概要

発表されたガイダンスでは、標的にされやすい個人(政府関係者など)に対し、次の防衛策を実施することを強く推奨している。

  • モバイルデバイスとインターネットサービス間のすべての通信は、傍受または改ざんされる可能性があることを理解する
  • エンド・ツー・エンド暗号化(E2EE: End-to-end encryption)された通信のみを使用する。メッセージアプリはエンド・ツー・エンド暗号化を保証した「Signal」などを使用する
  • FIDO(Fast IDentity Online)に対応した多要素認証(MFA: Multi-Factor Authentication)を使用する。可能であれば、「Yubico」「Google Titanセキュリティキー」「パスキー」を使用する。特にMicrosoft、Apple、GoogleアカウントをFIDO対応の多要素認証に切り替え、他の安全性の低い認証を無効にする
  • GmailユーザーはGoogleの「高度な保護機能プログラム」に登録する
  • ショートメッセージサービス(SMS: Short Message Service)を利用した多要素認証は使用しない。フィッシング耐性がなく、中間者攻撃(MITM: Man-in-the-middle attack)に脆弱で、認証を強化できない
  • パスワードの管理にパスワードマネージャーを使用する。Appleのパスワードアプリ、LastPass、1Password、Google Password Manager、Dashlane、Keeper、Proton Passなどが機能に優れる
  • 複数のアカウントでパスワードを使い回したり弱いパスワードを使用したりしている場合は、一意で強力なパスワードに変更する
  • SIMスワッピング攻撃を回避するため、通信会社のPIN(SIM PIN、SIMロックなど)を設定する。スマートフォンの盗難時に、第三者の不正使用を防止することもできる
  • モバイルデバイスのオペレーティングシステムとアプリケーションを定期的にアップデートする
  • モバイルデバイスの自動更新を有効にする
  • 最新機種を使用する。最新のオペレーティングシステムに実装されたセキュリティ機能は、最新機種でなければ最大限に活用できない可能性がある
  • 個人向け仮想プライベートネットワーク(VPN: Virtual Private Network)は使用しない。VPNを使用しても、リスクをISP(Internet Service Provider)からVPNプロバイダーに移動させるだけで安全性は向上しない。多くの商用VPNプロバイダーの安全性は確認されていない。ただし、組織が従業員向けに自社設置しているVPNサービスはこの制約を受けない

iPhoneおよびAndroid固有の推奨事項

ガイダンスではiPhoneおよびAndroidに対し、それぞれ固有の推奨事項を提示している。iPhone向けの推奨事項は次のとおり。

  • ロックダウンモードを有効にする
  • iMessageが利用できない場合、メッセージがSMSとして送信されないように設定する
  • iCloudプライベートリレー」を使用して、DNSクエリを保護する。代替手段として、Cloudflareの1.1.1.1リゾルバー、Googleの8.8.8.8リゾルバー、Quad9の9.9.9.9リゾルバーが提供する暗号化DNSサービスを使用する
  • 「設定」→「プライバシーとセキュリティ」からアプリの権限を確認し、制限する

Android向けの推奨事項は次のとおり。

  • 強力なセキュリティ機能と、長期的なアップデート(最低5年)を提供しているメーカーの製品を購入する
  • エンドツーエンド暗号化が有効になっている場合に限り、リッチコミュニケーションサービス(RCS: Rich Communication Services)を利用する
  • DNSサービスにCloudflareの1.1.1.1リゾルバ、Googleの8.8.8.8リゾルバ、Quad9の9.9.9.9リゾルバを使用する
  • Chromeブラウザで「常に安全な接続を使用する」が有効になっていることを確認する
  • Chromeブラウザでセーフブラウジング保護強化機能が有効になっていることを確認する
  • Google Play Protectが有効になっていることを確認する
  • アプリの権限を確認し、制限する。絶対に必要な権限以外は許可しない

このガイダンスは、政府関係者などサイバー攻撃の標的にされやすい個人を対象に作成されている。高いセキュリティを確保できる反面、ある程度の不便を受け入れる必要があり、一般ユーザー向けではない。しかしながら、特定の国家から標的にされるジャーナリストなどにも推奨される内容になっており、自身の置かれた状況に応じて活用することが望まれている。