
情シス担当者のためのスマホマルウェア対策
目次[非表示]
- スマホのマルウェア対策は、ウイルス対策アプリの導入だけで完結しません。端末管理、アプリ配布、OS更新、認証、ログ、初動対応を組み合わせる必要があります。
- 情報システム担当者は、会社支給端末、BYOD、業務アプリ、認証アプリ、社内ネットワーク接続のどこに業務データがあるかを先に整理すると、対策の優先順位を決めやすくなります。
- NISTは企業のモバイル端末について、ライフサイクル全体での管理、更新、監視、脅威モデリングを重視しています。スマホは小さなPCではなく、常時接続、センサー、アプリストア、個人利用が重なる業務端末として扱うべきです。
- AndroidとiPhoneでは標準の保護機構や管理方法が異なります。OS別の違いを理解したうえで、MDM/EMM、アプリ許可リスト、デバイスコンプライアンス、条件付きアクセスを設計することが重要です。
この記事は、情報システム担当者が業務利用スマホのマルウェア対策を設計・見直しするための実務整理です。対象は、会社支給スマホ、BYOD端末、Android Enterprise、iPhone/iPadのMDM管理、業務アプリ、メール、SaaS、認証アプリを含む一般的な企業利用です。特定製品の比較記事ではありません。
調査では、NIST、IPA、Google/Android Enterprise、Apple Platform Securityなどの一次情報を確認しました。脅威を過度に煽らず、公式資料で確認できる範囲と運用上の判断を分けて説明します。
スマホのマルウェア対策は「端末」ではなく「業務経路」を守る
情シス担当者が最初に整理すべきなのは、「スマホにマルウェアが入るか」だけではありません。業務メール、チャット、SaaS、VPN、認証アプリ、端末内ファイル、連絡先、カメラ、マイク、位置情報が、どのように業務情報へつながるかです。スマホは持ち運びやすく、個人利用と業務利用が混ざりやすい端末です。
NIST SP 800-124 Rev. 2は、モバイル端末を企業ネットワークやシステムで機密データを処理する存在として位置づけ、端末ライフサイクル全体で管理する考え方を示しています。Source: NIST SP 800-124 Rev. 2
Mobile devices were initially personal consumer communication devices but they are now permanent fixtures in enterprises.
"モバイル端末は当初、個人向けの通信機器だったが、今では企業にとって欠かせない存在となっている。"
この一文が示すポイントは、スマホを「便利な私物の延長」として扱うほど、業務データの所在と責任境界が曖昧になることです。対策は、端末単体の検査ではなく、業務データに到達する経路を洗い出し、端末状態に応じてアクセスを制御する設計に寄せます。
IPAはマルウェアを「悪意のあるソフトウェアやプログラム」の総称として説明しています。Source: IPA 情報セキュリティ10大脅威 用語資料
スマホでは、正規アプリに見せかける、権限を悪用する、SMSやクリップボードを狙う、業務APIへ不正アクセスする、といった形も想定します。
情シスが見るべきリスク整理表
次の表は、スマホマルウェア対策を検討するときの主要な判断軸です。端末種別ごとの細かな設定に入る前に、どのリスクが自社で重大かを確認してください。
リスク領域 | 典型的な入口 | 業務影響 | 情シスの主な対策 |
|---|---|---|---|
不審アプリ | 非公式ストア、野良APK、偽アプリ、過剰権限アプリ | 認証情報窃取、情報持ち出し、端末遠隔操作 | アプリ配布制御、許可リスト、サイドロード制限、Play ProtectやOS標準保護の有効化 |
OS・アプリ脆弱性 | 未更新OS、古いブラウザ、古い業務アプリ | 権限昇格、情報漏えい、端末乗っ取り | 更新期限、最低OSバージョン、パッチレベル条件付きアクセス |
フィッシング・SMS | メール、SMS、チャット、QRコード、広告 | アカウント奪取、MFA突破、詐欺送金 | MFA強化、危険リンク警告、教育、報告導線、認証アプリ保護 |
紛失・盗難 | 外出先、移動中、退職者端末 | 端末内データ閲覧、業務アプリ悪用 | 画面ロック、暗号化、リモートワイプ、紛失時手順 |
BYOD混在 | 個人アプリ、個人メール、家族利用 | 管理不能な保存先、プライバシー衝突 | ワークプロファイル、ユーザー登録、業務データ分離、同意取得 |
管理基盤侵害 | MDM/EMM管理者アカウント、配布プロファイル | 多数端末への不正設定、証明書悪用 | 管理者MFA、権限分離、監査ログ、変更承認 |
この表で重要なのは、スマホマルウェアの入口がアプリだけではない点です。NIST Mobile Threat Catalogueは、アプリ、認証、通信、EMM、物理アクセス、プライバシーなど複数カテゴリでモバイル脅威を整理しています。Source: NIST Mobile Threat Catalogue
つまり、スマホ対策は「アプリ検査」「ネットワーク接続制御」「ID保護」を合わせて設計します。
まず決めるべき管理方針
最初に決めるべきことは、会社支給端末とBYODを同じポリシーで扱うか、分けるかです。会社支給端末なら、MDM登録、アプリ配布、画面ロック、OS更新、リモートワイプ、証明書配布まで強く制御できます。一方、BYODでは個人データと業務データの分離、利用者同意、監視範囲の説明が重要です。
NISTは、モバイル端末のセキュリティを維持するために、OSとアプリの更新、セキュリティ監視、ライフサイクル管理を挙げています。Source: NIST SP 800-124 Rev. 2
特に企業では、端末配布前に標準設定を決め、役割に応じて許可する権限を変え、ポリシーを文書化しておくことが現実的です。
実務では、次の4分類で方針を作ると迷いにくくなります。
- 端末所有: 会社支給、COPE、BYODのどれか。
- 業務データ: メール、ファイル、SaaS、証明書、認証アプリの保存先。
- 接続条件: OSバージョン、パッチレベル、画面ロック、暗号化、脱獄・root化検知。
- 利用者体験: どこまで制限し、どこから自己責任にするか。
全社員に同一の強い制限をかけると、現場が個人チャットや個人クラウドへ逃げる可能性があります。逆に自由度を高くしすぎると、業務データの保存先が見えません。情シスの役割は、禁止だけでなく、業務が成立する安全な標準経路を用意することです。
Android端末で押さえる対策
Androidでは、Google Play Protect、Google Playの審査、Android Enterprise、ワークプロファイル、Managed Google Play、デバイス信頼シグナルなどを組み合わせます。GoogleのAndroid Helpでは、Google Play ProtectがGoogle Play上のアプリを事前確認し、他の入手元からの潜在的に有害なアプリも確認し、警告・無効化・削除を行う場合があると説明しています。Source: Google Android Help
Googleの開発者向け資料では、Google Play Protectは端末上のすべてのアプリを入手元に関係なく確認し、日次スキャンや非Playインストール時のリアルタイム保護を行うと説明されています。Source: Google Play Protect
ただし、これは「何を入れても安全」という意味ではありません。未知の攻撃、ユーザーが権限を許可したアプリ、業務アプリ側の脆弱性、フィッシングによる認証情報窃取は別の対策が必要です。
Android Enterpriseの公式ページでは、デバイスのセキュリティパッチレベル、OSバージョン、保留中のOTA、ネットワーク状態、画面ロックなどのデバイス信頼シグナルを使えると説明されています。Source: Android Enterprise Security
情シス担当者は、これらを条件付きアクセスやSaaSログイン制御と結びつけるべきです。
Android運用で優先度が高い設定は次のとおりです。
- Managed Google Playで業務アプリを配布し、許可されていないアプリの業務領域利用を抑える。
- サイドロードを原則禁止し、例外が必要な場合は申請、署名、配布経路、更新責任者を決める。
- 最低OSバージョンとセキュリティパッチレベルを定め、古い端末を業務アクセスから外す。
- ワークプロファイルを使い、個人領域と業務領域を分離する。
- 危険な権限、アクセシビリティサービス、通知読み取り、SMS権限を業務端末で監査する。
Androidは端末メーカー、OSバージョン、配布チャネルが多様です。端末調達時に「何年更新を受けられるか」「企業管理に必要なAPIが使えるか」「パッチ提供頻度は十分か」を確認し、端末寿命とセキュリティ基準を合わせます。
iPhoneで押さえる対策
iPhoneはApp Store、コード署名、サンドボックス、OS更新、MDMによる制御を前提に設計されています。Apple Platform Securityは、iOS/iPadOSでは承認された入手元のアプリであることを確認したうえで、他アプリやシステムを侵害しないように設計された保護を適用すると説明しています。Source: Apple Platform Security
AppleのSecure device management overviewでは、組織がMDMを使ってパスコード要件、設定、機能制限、企業データのリモートワイプを実施できると説明されています。Source: Apple Secure Device Management
これは、iPhoneに「マルウェア対策アプリを入れる」発想より、OS標準機構とMDMで業務データの利用条件を制御する発想に近いです。
iPhone運用で優先度が高い設定は次のとおりです。
- Apple Business ManagerとMDMを連携し、会社支給端末を監視対象として配布する。
- パスコード、Face ID/Touch ID、OS更新、紛失時ロック、リモートワイプを標準化する。
- 管理対象アプリと管理対象アカウントを使い、業務データのコピー先を制御する。
- 個人端末ではUser Enrollmentなどを検討し、個人プライバシーと企業データ保護を分ける。
- 端末の信頼状態をID基盤やSaaSの条件付きアクセスと連携する。
注意すべきは、iPhoneだからリスクがゼロになるわけではないことです。攻撃者は、フィッシング、偽ログイン、認証疲労攻撃、QRコード、悪意ある構成プロファイル、業務アプリの脆弱性、クラウドアカウント奪取も狙います。iPhone運用でも、端末状態、アカウント状態、業務アプリの挙動を合わせて見ます。
MDM/EMMは導入より「運用設計」が重要
MDMやEMMを導入しても、標準ポリシーが曖昧なら効果は限定的です。NISTは、EMMポリシーを「ユーザーがモバイル端末で何を許されるか、端末設定要件は何か」を定めるルールとして説明し、利用者や端末ごとにポリシーが異なり得ると述べています。Source: NIST SP 800-124 Rev. 2
情シス担当者が決めるべき運用項目は、製品選定よりも広いです。最低限、次を文書化してください。
- 登録: 誰が、いつ、どの端末を、どの所有形態で登録するか。
- 配布: 業務アプリ、証明書、VPN、Wi-Fi、メール設定をどの経路で配るか。
- 更新: OS更新を何日以内に適用させ、未適用端末をどう扱うか。
- 監視: 準拠違反、root化・脱獄、危険アプリ、OS期限切れを誰が見るか。
- 例外: 役員、現場端末、検証端末、海外出張端末の例外条件をどう承認するか。
- 退職・紛失: 業務データ削除、アカウント停止、端末回収、証跡保存をどう行うか。
見落とされやすいのが、MDM管理者アカウントです。管理者認証が弱いと、攻撃者が端末群へ不正プロファイルや設定を配布できる可能性があります。管理者には多要素認証、最小権限、操作ログ、変更承認を適用します。
感染が疑われるときの初動手順
スマホのマルウェア感染は、利用者が気づきにくいことがあります。電池消費、通信量増加、見覚えのないアプリ、不審な権限要求、勝手なSMS送信、アカウントの異常ログイン、端末の高温化などは手がかりになります。ただし、通常の不具合でも起きるため、単独で感染と断定しないことが重要です。
初動では、端末をすぐ初期化する前に、必要な証跡を残します。MDMログ、SaaSログイン履歴、メール転送設定、認証アプリ登録状況、インストール済みアプリ一覧、OSバージョンを確認します。業務データ流出の可能性がある場合は、端末対応と並行してアカウント防御を優先します。
推奨する初動フローは次のとおりです。
- 利用者からの報告を受け、端末を責めずに状況を聞き取る。
- 端末をネットワークから切り離す。必要に応じて機内モード、SIM停止、Wi-Fi切断を使う。
- MDM/EMMで端末状態、インストール済みアプリ、準拠違反、直近操作を確認する。
- 業務アカウントのセッション失効、パスワード変更、MFA再登録、トークン無効化を検討する。
- 端末の証跡を残したうえで、業務データのリモートワイプまたは端末初期化を行う。
- 侵入経路を推定し、同様の端末、同じアプリ、同じ利用者グループへ横展開確認する。
- 再発防止として、ポリシー、教育、アプリ配布、検知ルールを更新する。
この手順で大切なのは、端末をきれいにすることだけをゴールにしないことです。感染はSaaSアカウント、メール、認証アプリ、業務チャット、クラウドストレージに波及する可能性があります。端末復旧とアカウント防御を同時に進めます。
社内ルールに入れるチェックリスト
社内ルールは長くしすぎると読まれません。利用者向けには短く、情シス向けには判断基準を詳細に分けるのが現実的です。次のチェックリストを、MDMポリシー、社内ポータル、入社時教育、端末配布手順に組み込むと運用に乗せやすくなります。
- 会社指定の配布経路以外から業務端末にアプリを入れない。
- OSと業務アプリの更新を延期しない。
- 業務アプリが不要な権限を求めたら、許可前に情シスへ確認する。
- SMS、メール、チャットのリンクから認証情報を入力しない。
- 端末紛失、不審アプリ、不審ログイン通知、身に覚えのないMFA通知はすぐ報告する。
- 画面ロック、端末暗号化、生体認証、リモートワイプ設定を無効化しない。
- BYODでは業務データを個人クラウドや個人メールへ移さない。
情シス側のチェックリストは、より運用寄りにします。
- 端末台帳に、所有形態、OS、パッチレベル、利用者、退役予定日がある。
- 最低OSバージョンとサポート切れ端末の扱いが決まっている。
- Androidのサイドロード、iOSの構成プロファイル、開発者モード、root化・脱獄の検知方針がある。
- MDM/EMMの管理者権限が最小化され、MFAと監査ログが有効である。
- SaaSやID基盤で、非準拠端末を制限できる。
- 端末ワイプとアカウント停止の判断責任者が決まっている。
- 報告後の連絡文、利用者説明、再発防止レビューの雛形がある。
よくある失敗と改善策
よくある失敗の1つ目は、対策を「アンチウイルス導入」に寄せすぎることです。スマホではOSのサンドボックス、アプリ審査、権限管理、MDM制御、ID制御が重要で、PCと同じ発想をそのまま持ち込むと抜けが出ます。端末保護、アプリ管理、ID保護、通信保護、初動対応を分けて棚卸ししてください。
2つ目は、BYODの同意設計が曖昧なことです。個人端末に業務データを置くなら、会社が何を管理でき、何を見ないのかを説明します。AppleもBYODを含む管理について、企業情報を保護しながら従業員が企業要件を満たすための設定を管理できると説明しています。Source: Apple Secure Device Management
3つ目は、古い端末を業務利用し続けることです。OS更新が止まった端末は、脆弱性対応の前提が崩れます。IPAの資料でも、スマートフォン等のソフトウェアやアプリをアップデートしていない状況では、操作権限の奪取や認証情報窃取につながるおそれがあると説明されています。Source: IPA 情報セキュリティ10大脅威 用語資料
4つ目は、感染時の報告が遅れることです。報告を責任追及ではなく被害拡大防止の行動として位置づけ、報告先、時間外連絡、スクリーンショットの取り方、端末を操作しない条件を明示します。
まとめ
情シス担当者にとって、スマホのマルウェア対策は端末にアプリを入れる作業ではなく、業務データへ到達する経路を管理する仕事です。脅威はアプリ、通信、認証、物理紛失、管理基盤、サプライチェーンに広がります。まず、自社のスマホ利用を会社支給、BYOD、業務アプリ、SaaS、認証アプリの観点で棚卸しします。
そのうえで、AndroidではPlay Protect、Android Enterprise、ワークプロファイル、Managed Google Play、パッチレベル管理を活用します。iPhoneではApp Store、コード署名、サンドボックス、Apple Business Manager、MDM、管理対象アプリを前提にします。どちらのOSでも、端末状態をID基盤と連携し、非準拠端末から業務データへ入れない設計が重要です。
最後に、感染時の初動手順を社内に定着させてください。利用者が早く報告し、情シスが証跡、隔離、アカウント防御、再発防止を順に進められる状態が、実務上有効なスマホマルウェア対策になります。



