あなたのモバイル デバイスが攻撃される方法は無限にあるように思われます。 悪賢いハッカーがモバイル デバイスのセキュリティを削っているという恐ろしいイメージがあるため、デバイスが危険にさらされる最も一般的な方法は、エンド ユーザーによる不注意な行動であることを忘れてしまいがちです。

サイドロードとは何ですか？

モバイル セキュリティの文脈におけるサイドロードとは、デバイスのオペレーティング システムの開発者によって承認されていないアプリケーションを追加するプロセスのことを指します。 App Store または Google Play Store にあるすべてのアプリケーションは、それぞれの組織によって審査されています。 App StoreとPlayストア（Google Playストアの方が多い）の両方で悪意のあるアプリが見つかった例がありますが、公式アプリストアは追加のフィルターとして機能し、エンドユーザーに届く悪意のあるアプリの大部分をブロックします。
サイドロードでは、いくつかの理由のいずれかで公式アプリストアで利用できないアプリにアクセスすることができます。 他のソースからのアプリは、セキュリティのためにスクリーニングされておらず、悪意がある可能性がありますが、多くの場合、ユーザーはそれらをデバイスにインストールし、脅威の危険にさらされることになります。 Apple デバイスの場合、これはしばしば（常にではありませんが）デバイスを脱獄する必要があります。

脱獄、ルート化、およびサイドロードの違いは何ですか。 Apple は、公式の App Store からダウンロードしたアプリケーションのみを許可するようにすべてのデバイスを制限することで、デバイスのセキュリティを高いレベルで維持しています。 脱獄は、デバイスのユーザー権限を増加させることによって、これを回避する方法です。 デフォルトの設定では、サイドロードされたアプリを許可していませんが、サードパーティからのアプリを許可するように設定を変更することが可能です。 当社の調査によると、約20％のデバイスがこの設定を有効にしています。 この方法は、脱獄よりもリスクが低いように見えますが、まったく同じようにデバイスを脅威にさらしてしまいます。
Root化は、脱獄のAndroid版として混同されがちです。
Rooting は、しばしば Android 版脱獄と混同されます。rooting は、どちらも特権の拡大という意味で脱獄と似ていますが、rooting は Android ユーザーに非常に大きな自由を提供します。 デバイスへのルート アクセスを提供するため、いわゆる root 化は、はるかに大きなスーパー ユーザー特権を可能にし、ユーザーは、デバイスのオペレーティング システムを変更するなどの大幅な変更を行うことができます。

当社の調査によると、企業のデバイスにサイドロードされるアプリは非常に多様ですが、最もよくサイドロードされるアプリの上位 5 つを分類することができました：

Custom-built business apps

カスタム アプリケーションにより、IT 部門は企業内のさまざまな部署の特定の使用ケースに合わせてアプリケーションをカスタマイズでき、組織にとって大きな利点となります。 たとえば、私たちの顧客の1つは、カスタム アプリを構築して展開し、介護スタッフがベッドサイドから患者の記録を更新して処方箋を注文できるようにし、管理を最小限にして患者のために費やす時間を増やしました。 たとえば、従業員名簿のHRアプリには従業員の個人情報が含まれており、社内ニュースアプリには企業の機密情報が含まれています。 IT 部門が、ユーザー認証を追加して複雑さを増すことなく、これらのアプリをユーザーに提供する別の方法を見つけたいと思うのは理解できます。

リスクは何ですか

アプリのサイドロードは通常、危険な行為ですが、この場合、一般的に行われており、望ましい配布方法です。 組織は、問題のアプリが悪意なく設計され、望ましいセキュリティ レベルに適合できることを保証することができます。 組織がアプリを許可するためにデバイスをジェイルブレイクした場合、危険なアプリがダウンロードされインストールされる可能性があるので、他の方法が使用される可能性が高くなります。 カスタム アプリが署名された証明書プロファイルをプリインストールするか、エンタープライズ モビリティ管理 (EMM) ツールを使用するかのいずれかです。
カスタム アプリを持つ企業は、しばしば開発をサード パーティーに委託しています。 これらのサードパーティの開発者の問題は、たとえば安全でないネットワーク接続などのパフォーマンスの問題やセキュリティの問題を検出するための堅牢な検証ワークフローが実施されていないことです。 Wanderaは最近、ある企業のカスタムメイドの人事研修アプリケーションで、ログインするユーザーのユーザー名とパスワードが、企業の電子メールアカウントにログインするときに使用するのと同じ資格情報であることを保護していないことを発見しました。
もう1つ考慮すべきことは、これらのカスタムメイドのアプリケーションは既存のOSに最適化されているので、AppleやAndroidがOSを更新すると、アプリケーション機能の一部が停止する可能性があります。 このため、OS のアップデートを制御するサービスを使用すると、カスタム アプリを最適に動作させ続けることができます。
リスク – 1/5

Third-party app stores

Apple App Store for iOS と Google Play Store for Android はモバイル アプリの 2 大流通経路となっています。 しかし、この 2 大メジャー以外のサード パーティのアプリ ストアやアプリの世界は、大きく悪いものです。 実際、世界には300以上のアプリストアがあり、その数は増え続けています。
当社のデータによると、企業のiOSデバイス向けに最も人気のあるサードパーティアプリの1つがTutuappで、もともとは中国のアプリストアで、2017年に英語版がリリースされました。 Tutuappは、プレイヤーが移動しなくてもポケモンを見つけて捕まえることができるバージョンのPokemon Goなど、人気ゲームの修正版やハッキング版をホストしていることで知られています。 Tutuappでホストされているアプリは、Google PlayやApp Storeにあるものと同じように厳重に審査されていません。
Androidでは、ソース不明からのダウンロードを許可する設定がオンになっていれば、ユーザーは単にアプリのウェブサイトにアクセスしてブラウザから直接ダウンロードできるので、第三者のアプリストアのインストールはそれほど一般的ではありません。
Android ユーザーがサイドロードするサード パーティのアプリ ストアとして最も人気があるのは、この 2 つです。

1. Aptoide
2. Amazon Appstore

Amazonは、Appleとほぼ同じ方法で、ストアでの公開前にすべてのアプリケーションを承認しており、Amazon Appstore自体が比較的安全だと示唆しています。 一方、Aptoide は信頼性が低いです。
Aptoide にはウイルス スキャン機能（アプリのアイコンの盾のマークで示される）がありますが、スキャンされていないアプリを公開し、潜在的な脅威にさらされている可能性があります。

リスクは何ですか。

大部分のサード パーティ製アプリ ストア アプリ自体はマルウェアがなく比較的安全かもしれませんが、それらが可能にする動作ははるかに多くの脅威となります。 サード パーティ製アプリ ストアをサイドロードする人は、そのストアによってホストされている 1 つまたは複数のアプリをインストールする予定だと考えて間違いないでしょう。 これらのアプリ ストアの大半は、提供するアプリの厳格なセキュリティ検証を実施していないため、これらのアプリがインストールされたデバイスは、脅威に対して特に脆弱になる可能性があります。 当社のデータによると、従業員の 10% が日常的に会社のデバイスでゲームをしています。
サイドロードが必要な人気ゲームの最も顕著な例は、Android 版の Fortnite です。 Epic Gamesがこの待望のゲームをGoogle Playストアをバイパスして自社のWebサイト経由でのみ提供する決定を下したとき、私たち（および他のセキュリティ専門家）は、危険な設定の常態化、偽装フォートナイト ゲームの配布、フォートナイトベースのフィッシング攻撃などのリスクをいち早く伝えました。
その直後、Googleのセキュリティ チームがフォートナイト インストーラーに脆弱性を発見したのです。 この脆弱性を利用して、デバイス上の他のアプリが、Epic GamesからのFortniteのダウンロード要求をハイジャックし、マルウェアやスパイウェアなど、他のものを密かにダウンロードする可能性があります。 Epic の功績により、この脆弱性はすぐに修正されました。

リスクは何か？

雇用者は、会社のデバイスにゲームをインストールすることは、生産性を十分に損ねると感じているかもしれません。 しかし、サイドロードされたゲームに付随する潜在的な脅威は相当なものです。 Apple や Google のアプリ審査という特別なセキュリティ層がなければ、脆弱性や悪意のあるコンテンツが検出されず、デバイスが多数の脅威にさらされる可能性があります。 また、「早期リリース」、改造版、偽の「ガイド」など、ゲームは悪意のある人々にとって格好のターゲットです。
リスク – 4/5

「無料」映画ビューアー

過去数年間にデータ転送速度やモバイルインターネットの普及が進んだため、映画やテレビのストリーミングにモバイルデバイスが使用されています。 モバイルユーザーが自分のデバイスで映画を完全にストリーミングすることは一般的であるため、コンテンツを提供するアプリの数も増えています。
NetflixやAmazon Prime Video（2017年にGoogle Playストアに追加されるまで、定期的にサイドロードされていたアプリ）などの正規サービスとともに、無料で映画を視聴できるアプリが法人向けデバイスに定期的に多数サイドロードされるようになってきています。 その中でもiOS向けに人気が高いのはMovieBoxとCotoMovies（旧Bobby MovieまたはBobby HD）で、この2つのアプリのうち少なくとも1つをインストールしている企業は50%にのぼるという。 CotoMovies は、iPhone を脱獄する必要のないサイドロードされたアプリの一例ですが、ユーザーはデバイスのプロファイル設定を変更する必要があるため、特に攻撃を受けやすくなります。
残念ながら、これらのアプリには多くの問題があります。 Apple や Google によって承認されたアプリは、いかなる違法行為も許可しませんが、サイドロードされたアプリでは、保証はありません。
ビデオ ストリーミングは特にデータ量が多いので、監視しないとデータ超過料金の可能性があります。 これは、正規のものを含むすべてのストリーミング アプリに共通する危険性です。 しかし、一部の不正なストリーミング アプリは、別のデータ問題を引き起こす可能性があります。 Moviebox はピアツーピアのサービスであるため、ユーザーがファイルをダウンロードしている間に、知らないうちにアップロードしている可能性があります。

What’s the risk?

Free Movie Viewer には一見して多くの問題があることがわかります。 モバイル セキュリティの観点からは間違いなく危険ですが、データ使用量や生産性にも難があります。 さらに悪いことに、映画を見るためにそれらを使用することは、海賊行為に参加することであり、企業のデバイスで起こってほしいことではありません。
リスク – 3/5

暗号通貨市場

過去数年間、ビットコインなどの暗号通貨は急成長しました。 一夜にして億万長者になった人たちがいるため、誰もが次の成功を求めています。 これは、暗号通貨とその取引方法が揮発性であるため、特に悪用されやすい市場を作り出しています。
相当数の暗号通貨取引アプリが存在し、デバイスにサイドロードされるアプリの中で5番目に多いカテゴリを構成しています。 iOSデバイスにサイドロードされる最も一般的な暗号通貨アプリはBinanceです。
未確認の金融取引アプリは、悪意のある行為者にとって非常に価値のあるターゲットです。 これらのアプリに対する脅威は、怠慢な開発者によって見落とされた脆弱性や、アプリに入力されたすべての情報を盗む偽バージョンの形をとることがあります。 これは、Google Play Storeにはあるが、App Storeにはない。 iOSの場合、サイドロードは可能ですが、プロファイルをインストールする必要があり、”Meridian Medical Network Corp. “によって作成されました。 – このような異常な要求は、しばしば警告のサインとなることがあります。 また、偽の Kucoin アプリが作成された例も少なくとも 1 つあります。

リスクは何ですか

他のすべての最も一般的なサイドロード アプリのカテゴリと同様に、個々のアプリのセキュリティに対する監視が不足しているため、固有のリスクがあります。 また、意図的に悪意のあるアプリが存在し、不用心なユーザーがインストールすると、個人的な金銭的損害の危険にさらされる可能性があります。
Risk – 2/5 for the organization – 4/5 for the end-user of the app

Everything else

Sideloaded App の最も一般的な上位 5 つを取り上げました。 Root化支援ツール、アダルトコンテンツ、pdfリーダーでさえも、悪意のあるコンテンツを含んでいることが示されており、サイドロードされたアプリが安全である保証はほとんどありません。 このことから、モバイル セキュリティを完全に確保するには、適切な監視と可視化が不可欠であるという点が補強されます。

まず、この記事で紹介したアプリの AppID をすべて集めました (このページの下部にあります)。EMMソリューションを使用している場合、インストールされたすべてのAppIDを確認できます。
次に、デバイス上で発生する可能性のある新たな脅威を、全社的に継続的に監視およびブロックできるセキュリティ ソリューションへの投資を検討する必要があります。 サイドロードされたアプリに関しては、デバイス上の危険な設定（不明なソースからのダウンロードの許可やジェイルブレイクされているなど）にフラグを立て、望ましくないものとして強調したアプリをブロックし、データの流出などの危険な活動を表示したアプリケーションを通知するソリューションを探す必要があります。
モバイルの脅威から組織を保護する方法についてもっとお知りになりたい場合は、当社のモバイル エキスパートまでご連絡ください。tutuapp.tutuapphwenterprise, com.wjxhw.yhyy
Android: com.feng.droid.tutu
Aptoide
Android: cm.aptoide.pt

Games

Fortnite Installer
Android.Forttnite
Android: com.wjxhw.tutuappAptoide
Android: com.tutuapphwenterprise, com.tutuapphwenterprise Com.epicgames.portal

無料映画アプリ

Movie Box
iOS: com.sull.videofun, com.vshare.move, com.tweakbox.moviebox
BobbyHD/Cotomovies
iOS: bobb.bcc.com, com.tweakbox.bobbymovie, bobby.bcc.movie, bobby.movie.bcc

Cryptocurrency

Binance
iOS: com.binanceInternational.app, com.bijie.Binance, com.forbnbsignedinternational.app, com.NATELOOO20180329.internalApp, com.InternaluseSignbnbCloud.bnbapp, com.internalUseSign180322.app
Kucoin
iOS.Com: com.Binary
iOS, com.Biness
iOS: com.binanceImagazine.app, com.Binance
iOS, com.Binary
iOS.Com: com.binanceImagazine.com, com.Binance
iOS。 com.koins.nb、com.kucoin.KuCoin.App

。