昨今、企業ネットワークに接続するエンドポイントは著しく多様化しています。企業内業務でネットワークの利用が普及し始めた10数年前なら、ネットワークに接続する端末は、オフィスの中でLANケーブルで接続されたデスクトップPCだけだったでしょう。しかし、やがてノートPCや無線LANが普及し、さらにオフィス外からのVPN接続、そしてスマートフォンの出現により、現在ではネットワークへの接続方法、接続するエンドポイント（クライアントPC、サーバ、モバイルデバイスなど企業ネットワークに接続されるすべての情報端末）の種類もさまざまな形態を選択できるようになりました。特にPDAやスマートフォンなどは、ポケットに入れて持ち歩くことも可能なほど身近なものであり、24時間365日、場所を問わず常にネットワークと接続することができるようになっています（図1）。

図1 スマートフォンにより各機能が融合

　携帯電話市場は爆発的な発展を見せており、あらゆる規模の企業にとって携帯できる通信機器がなくてはならないものになりつつあります。モバイル機器を使うことで、従来のオフィス環境にあった「壁」を取り除き、時間と場所を問わずビジネスを遂行できるからです。空港での移動中も、ゴルフ場でのプレイ中も、ショッピングセンターでの買い物中でも、いまこの瞬間にも、膨大な数の電子メールがやり取りされたり、重要な数値が決定されたり、大事な打ち合わせが進行したりしています。

　こうしたモバイル機器は確かに便利ですが、利用の拡大に合わせてセキュリティ上のリスクも増加しています。企業内ネットワークに侵入するための技術はさらに複雑化し、ビジネス上の機密データを保存できる携帯デバイスは、ハッカーたちにとって格好の標的となりつつあるのです。

　モバイル機器を使ってやりとりされる重要なビジネスデータの数は、ますます増えています。しかし、どのくらいの企業が対策を講じているのでしょうか。シマンテックが英国の調査会社Economist Intelligence Unitに委託した調査結果によると、なんと75％の企業が従業員が利用する機器への対策をまったく行っていませんでした。

　モバイル機器の保護手段を知ることはもちろん大切ですが、その前にまず企業をターゲットにする際の攻撃手法の1つを具体的に見てみましょう。


　スヌープウェアとは、もともと親、配偶者、雇用主などが、子供、配偶者、従業員などのモバイル機器の利用状況を探るために開発されたスパイウェアでしたが、最近はハッキングのツールとして注目されています。スヌープウェアの中には、スマートフォンを遠隔操作して録音機能を起動し会議などを盗聴できるようなものや、携帯端末内のカレンダー/連絡先リストを無断で閲覧する機能を持つものなどがあります。スヌープウェアはいつでもどこでも携帯できるというモバイル機器の利便性を逆手に取った攻撃手段となるわけです。携帯電話であれば仕事で使うだけでなく、ベッドサイドに置いて目覚まし代わりに使う人も多いため、ビジネスの情報が盗まれる以外にも個人情報の漏えいやプライバシーの侵害につながる可能性もあります。

　現在、企業では社内ネットワークをより厳重に防御するようになってきているので、ハッカーの関心は、対策の進んでいないモバイル機器に移りつつあります。店舗のレジやインターネット上で利用できる決済アプリケーションにはモバイル機器が組み込まれるようになってきたため、直接的に金銭の詐取ができるからです。

　今後ますます多くのモバイル機器がPC同様の機能を持つようになり、IT部門は新たな課題に直面することになります。モバイル機器が企業ネットワークのリスクとならないよう、一元化されたモバイルセキュリティポリシーの策定を始めた企業もあります。