「SMSは認証に使わないで」 米CISA、モバイル通信を保護する8つのベストプラクティスを公開 (2024/12/26)
https://atmarkit.itmedia.co.jp/ait/articles/2412/26/news076.html
『米CISAは「Mobile Communications Best Practice Guidance」を公開した。米国の商用通信インフラに対する中国政府系ハッカー集団のサイバースパイ活動が確認されたことに対応して作成されたものだ。
…
CISAは「このガイダンスは全てのモバイル通信ユーザーに役立つが、特に、中国政府系ハッカー集団にとって関心のある情報を保有している可能性が高く、標的として狙われている、政府高官や要職にある政治家を対象としている。単一の解決策で全てのリスクを排除することはできないが、このガイダンスに示されたベストプラクティスを実行することで、悪意あるハッカー集団に対する機密通信の保護が大幅に強化される」と述べている。
ガイダンスでは、以下の8つのベストプラクティスを挙げて説明している他、iOSとAndroidそれぞれのユーザー向けに、設定などに関する推奨事項を紹介している。
モバイル通信を保護する8つのベストプラクティス
1. エンドツーエンドの暗号化通信のみを使用する
CISAは、「Signal」や同様のアプリなど、E2E(エンドツーエンド)の暗号化を保証する安全な通信用の無料メッセージングアプリケーションを採用することを推奨…
2. フィッシングに強いFIDO(Fast IDentity Online)認証を有効にする
FIDO認証は、MFA(多要素認証)を回避するハッキング手口に対して効果的だ。使用可能な場合は、「Yubico」や「Google Titan」などハードウェアベースのFIDOセキュリティキーが最も効果的だが、FIDOパスキーも許容可能な選択肢だ。
3. SMSベースのMFAから移行する
SMSを認証の第2要素として使用しないようにする。SMSは暗号化されていないため、通信事業者のネットワークにアクセスできる脅威アクターがメッセージを傍受して読めるからだ。
4. パスワードマネジャーを使用して、全てのパスワードを保存する
一部のパスワードマネジャー(「Apple Passwords」「LastPass」「1Password」「Google Password Manager」「Dashlane」「Keeper」「Proton Pass」など)は、弱いパスワード、再利用されたパスワード、流出したパスワードについて自動的にアラートを出す。これらの中には、認証コードを生成するものもある。
5. 通信事業者PINを設定する
ほとんどの通信事業者は、携帯電話アカウントに追加のPINまたはパスコードを設定する機能を提供している。このPINは、アカウントへのログインや電話番号の移行など、機密性の高い操作を完了する際に必要となる。
6. ソフトウェアを定期的に更新する
…
7. 携帯電話メーカーの最新バージョンのハードウェアを選ぶ
…
8. 個人用VPNを使わない
個人向けVPNは、インターネットサービスプロバイダー(ISP)からVPNプロバイダーへと残余リスクを移すだけであり、多くの場合、攻撃対象領域を拡大してしまう。
』
No comments:
Post a Comment