CISAが、米国民向けにスマホの推奨セキュリティ設定という資料を公開しました。本記事では、解説と日本の事情も加えつつ、翻訳してご紹介します。
アメリカ政府がセキュリティ対策を呼びかける理由
現在FBIやCISAが、積極的にPCやスマホのセキュリティ対策を呼びかけています。その背景をご説明します。
あらゆるネットワークレベルで攻撃されている
現在アメリカでは、中国系ハッカー集団「Salt Typhoon(ソルトタイフーン)」が複数の通信会社に数ヶ月以上侵入し、しかもそれを排除できていないことが大問題となっています。
U.S. Wiretap Systems Targeted in China-Linked Hack(WSJ)
中国だけでなく、ロシア、イラン、イスラエルが電話通信網を攻撃しているという情報もあります。
DHS Says China, Russia, Iran, and Israel Are Spying on People in US with SS7(404Media)
さらに、中国メーカであるTP-Link社のルータのシェア率が65%もあり、家庭から企業、政府機関でも使用されていることが問題視されています。
U.S. Weighs Ban on Chinese-Made Router in Millions of American Homes(WSJ)
つまり、あらゆるネットワーク機器でのセキュリティが機能していないことを意味するので、ユーザー個々が持つデバイスレベルでの対策が求められています。
CISAがセキュリティガイドラインを公開
これを受け、「CISA(Cybersecurity and Infrastructure Security Agency、アメリカ合衆国サイバーセキュリティ・社会基盤安全保障庁)」が、スマートフォンのセキュリティを守るための「モバイル通信の実践ガイド」という資料を公開しました。
Mobile Communications Best Practice Guidance(CISA)
よくまとまっていると思いますので、解説を加えつつご紹介させていただきます。
共通の推奨事項
iPhone、Androidに共通の対策をご紹介します。
エンドツーエンド暗号化通信を使用する
「Signal」のような、エンドツーエンドで暗号化され、異なるOS間で互換性のあるメッセージングアプリの使用が推奨されています。
日本では「トクリュウ」の犯罪問題で、Signalの利用を規制するような風潮がありますが、アメリカではむしろ推奨されています。
少し前まではアメリカも、暗号化メッセージアプリを規制したいという動きを見せていましたが、上記でご紹介したハッキングの被害を踏まえ、全国民に推奨するような流れとなりました。個々の犯罪より、国防を優先するという判断だと思います。
-
自衛隊や警察も使っているSignalアプリとは
匿名性が高いメッセージングアプリというとTelegramが知られていますが、それより安全と言われているのがSignalです。Signalは政府関係者や、公安警察、自衛隊など、国家レベルのセキュリティが ...
FIDOを有効にする
「FIDO(Fast IDentity Online)」とは、ID・パスワードを使用せずに、生体認証や物理デバイスを用いて、オンラインサービスにログインする仕組みです。
「Yubico」や「Google Titan」などの物理的なセキュリティキーが推奨されていますが、「パスキー」も許容範囲内です。
ポチップMicrosoft、Apple、Googleを含む、すべてのアカウントでFIDO認証を登録し、その他の安全性の低いMFA(多要素認証)を無効にします。
Gmailの場合は、Googleの「高度な保護機能プログラム」を有効にします。
SMSの二段階認証を廃止する
「SMS(ショートメッセージサービス)」は安全ではないため、MFAには使用しないようにします。
SMSのメッセージは暗号化されていないため、通信傍受される可能性があります。
またフィッシング耐性がないため、強力な認証手段とは言えません。
重要ではないアカウントの場合は、SMS認証の代わりに、以下のような認証アプリを使用するようにします。
- Google Authenticator(Google認証システム)
- Microsoft Authenticator
- Authy
パスワードマネージャーを使用する
パスワードマネージャーを使用して、長く、ユニークで、ランダムなパスワードを生成して管理するようにします。
多くのパスワードマネージャーは、パスワードの強度を判定したり、漏洩したパスワードを検知する機能を持っています。認証コードを生成する機能を持っている場合もあります。
以下の名前が挙げられています。
- Apple Passwords
- LastPass
- 1Password
- Google Password Manager
- Dashlane
- Keeper
- Proton Pass
元文章では名前が出ていませんが、個人的には「Bitwarden」を使用しています。
-
安全性を考慮したパスワードマネージャー Bitwarden無料版の使い方
2024/11/26 アメリカ, パスワードマネージャー
Bitwardenは、エンドツーエンドで暗号化され、オープンソースかつ無料で使用できるパスワードマネージャーとして、人気を集めています。この記事では、Bitwardenの有料版と無料版の違いと、基本的 ...
通信キャリアのアカウントにPINを設定する
通信キャリアのアカウントにPINやパスコードを設定し、SIMスワッピングのリスクを軽減します。
さらに、MFAを有効にし、パスワードマネージャーで管理するようにしましょう。
SIMスワッピングとは、不正入手した個人情報を使って、通信キャリアに対してSIMカードの再発行を依頼する手法です。これにより、SMSを使った認証コードを受信できるようになります。
定期的にソフトウェアをアップデートする
OSやアプリの自動更新を有効にし、週に1回は最新の状態か確認するようにします。
個人用VPNを使用しない
元文章では、個人用VPNは、管理をISPからVPNプロバイダーに移すだけであり、攻撃範囲が増大する可能性があることを指摘しています。
また、多くのVPNプロバイダーのセキュリティ対策やプライバシーポリシーには疑問があるとしています。
組織で使用するVPNは、その限りではありません。
安全なVPNはないの?
ほとんどの無料VPNが危険なのは指摘の通りですし、有料であっても怪しいサービスはあります。
そんな中、以下の3つのVPNサービスは、世界中のユーザーから高い信頼性があると支持されています。
-
有料VPNも危険? 人気VPN30個のセキュリティ分析
2024/11/22
無料VPNが危険であることはよく知られていますが、有料だから安全ということにはなりません。この記事では、TOP10VPNのセキュリティ分析結果を元に、危険なVPN、安全なVPNをご紹介します。 ポイン ...
iPhoneの推奨事項
iPhone特有のセキュリティ設定をご紹介します。
ロックダウンモードを有効にする
「ロックダウンモード(Lockdown Mode)」とは、アプリ、ブラウザ、通信等の一部機能を制限する仕組みです。これにより、多くのアプリが正常に動作しなくなりますが、セキュリティを大幅に高めることができます。
ジャーナリストや政治家など、国家レベルのセキュリティ対策が求められるユーザーに対して推奨されています。
iPhoneでは、iOS 16以降から使用できます。
「設定」-「プライバシーとセキュリティ」-「ロックダウンモード」をオンにします。
メッセージのSMS送信を無効にする
iOSの「メッセージ(iMessage)」は、エンドツーエンドで暗号化され、高いセキュリティで保護されていますが、iMessageで送信できない場合にSMSを利用するオプションを有効にすると、暗号化されていない通信を使用することになり危険です。
「設定」-「アプリ」-「メッセージ」-「テキストメッセージとして送信」をオフにします。
DNSクエリを保護する
一般的に、DNSクエリは暗号化されていないことが多いため、盗聴されるリスクがあります。
有料のiCloud+の機能である「iCloudプライベートリレー(iCloud Private Relay)」か、無料であれば以下の暗号化DNSサービスを利用することが推奨されます。
- Cloudflare: 1.1.1.1
- Google: 8.8.8.8
- Quad9: 9.9.9.9
Cloudflareであればアプリで設定できますが、GoogleやQuad9の場合は手動設定が必要となります。
「設定」-「Wi-Fi」-「接続しているWi-Fi名」-「DNSを構成」-「手動」
-
無料VPNの決定版?Cloudflare WARPの安全性とは
一般的に無料VPNはセキュリティの観点から推奨されていませんが、セキュリティサービスを提供している会社の無料VPNであればどうでしょうか。WARPは大手ネットワーク会社のCloudflareが提供する ...
iCloudプライベートリレーに登録する
iCloudプライベートリレーを利用すると、上記のDNSの他、リレーサーバーを経由することで、ISPやサイトの管理者がユーザーを追跡できないようになります。
VPNと似ていますが、接続サーバーを変更して地域制限を回避するということはできません。
また主にSafari向けであり、他のアプリの保護は限定的です。
個人的には、iCloud+はストレージがメイン機能であり、通信保護は他のVPNを利用した方が良いのではないかと思います。(元文章では推奨されていませんが)
アプリの権限を見直す
アプリに、「カメラ」「マイク」「位置情報」などへの、不必要な権限を与えないようにします。
「設定」-「プライバシーとセキュリティ」から確認できます。
Androidの推奨事項
Android特有のセキュリティ設定をご紹介します。
信頼できるメーカーのモデルを利用する
実績があり、長期的なセキュリティアップデートを保証しているメーカーの製品を利用することが推奨されています。
例として、「Android Enterprise Recommended」に記載されているものが挙げられています。これは、ビジネス利用に対し、Googleが品質や性能基準を満たしていることを保証するものです。
日本で一般的に流通している製品であれば、ほぼ大丈夫だと思います。
GoogleメッセージのRCSはGoogleメッセージ同士でのみ利用する
「RCS(Rich Communication Services)」とは、SMS/MMSの進化版で、LINEのようなモダンなメッセージ機能を使えるようになるというものです。
日本ではRCSサービスとして「+メッセージ」が知られています。
Googleメッセージでは、Googleメッセージ同士でRCSを利用する場合はエンドツーエンドで暗号化されるが、RCS以外の通常メッセージや、他のメッセージアプリに送る場合は暗号化されないということのようです。
そもそも日本ではGoogleメッセージの利用率が低いので、Googleメッセージを使わないという選択肢となるのではないでしょうか。
ちなみに「+メッセージ」もエンドツーエンドで暗号化されません。
プライベートDNSを設定する
iPhoneと同じように、暗号化DNSの利用が推奨されています。
設定方法が少し異なり、「設定」-「ネットワークとインターネット」-「プライベートDNS」にホスト名で登録する必要があります。
- Cloudflare: 1dot1dot1dot1.cloudflare-dns.com
- Google: dns.google
- Quad9: dns.quad9.net
Cloudflareであればアプリも利用できます。
Chromeで「常に安全な接続を使用する」を有効にする
Chromeの「設定」-「プライバシーとセキュリティ」で「常に安全な接続を使用する」がオンになっているか確認してください。
これは、HTTPS接続を強制的に使用し、HTTPSに対応していないサイトを開く際は警告を表示する機能です。
初期設定ではオンになっているはずです。
Chromeのセーフブラウジングで「保護強化機能」を有効にする
Chromeの「設定」-「プライバシーとセキュリティ」-「セーフブラウジング」で、「保護強化機能」が選択されているか確認してください。
これは、表示しているサイトや、ダウンロードファイルの安全性をリアルタイムで確認する機能です。
初期設定ではオンになっているはずです。
Google Play プロテクトを有効にする
「Google Play プロテクト」は、定期的にアプリをスキャンして、悪意のあるアプリを検出する機能です。
「Google Play ストア」アプリの、プロフィールアイコンから確認できます。
アプリの権限を見直す
アプリに不必要な権限が与えられていないかを確認します。
バージョンにもよりますが、「設定」-「プライバシー / セキュリティとプライバシー」-「権限 / 権限マネージャー」辺りから確認できます。
