Pocket

※任意団体SPREAD当時に公開されたコラムです。

IPA セキュリティセンター 調査役 加賀谷 伸一郎氏

SPREADの特別会員IPA(独立行政法人 情報処理推進機構)セキュリティセンター加賀谷さんのセキュリティコラム連載3回目です!
加賀谷さんのおもしろセキュリティ話は次回も続きます!お楽しみに! happy02

スマートフォンがスパイになって自分の行動を見張ってるってホント?!

2014年4月に、元交際相手女性のスマホにインストールしたアプリによって行動を監視するなどの悪事を働いた疑いがあるとして、男が逮捕されました。使われたアプリは、本来はスマホ持ち主本人が使うことを想定して開発された、「盗難・紛失対策アプリ」でした。かなり以前から正規のアプリマーケットであるGoogle Playで配布されており、決して不正なものではない・・はずです(汗)。スマホをどこかに置き忘れた場合でも、あらかじめ利用設定しておけば、パソコンなど他の端末からそのスマホの現在地などを知ることが出来るため取り戻せる可能性が高まる、という仕掛けです。
ところで、そのアプリってどんな機能を持っているんでしょう? 皆さん、知りたくありませんか? 主な機能は以下の通りです!

・スマホの現在地、移動経路を記録する。
・スマホに現在挿されているSIMカードの電話番号を読み取る。
・スマホをロックする。
・スマホ内部のデータやメモリカード内のデータを全消去する。
・スマホ画面に任意のメッセージを表示する。
・スマホから任意の番号宛に電話を掛けたりSMSを送ったりする。
・スマホ内蔵カメラで写真や動画を撮る。
・スマホ内蔵マイクで周囲の音声を録音する。
・電話の発着信履歴を取得する。
・スマホのアプリ一覧画面から、自分のアイコンを隠す。
・スマホから自らがアンインストールされることを防ぐ。

どうですか? スゴイですよね。アプリをインストールした人は、ネットに繋がっているパソコンから、上記の機能を使うことが出来ます。すなわち、ネットに繋がっているパソコンから、手元に無いスマホを操ることが出来る、ということです。確かに、これだけの機能があれば自分のスマホを無くしてしまっても、かなり心強いですね。たとえスマホが手元に戻って来ないとしても、内部の情報を全て消去してしまうことで、情報漏えいの被害だけは避けることが出来ます。つまり、正しく使えば非常に便利なアプリだということがお分かりいただけたと思います。

しかーし! 自分のスマホに、このアプリが何者かによって勝手にインストールされていたとしたら、どうでしょう。考えただけでコワいですねぇ~。自分のスマホがスパイになっていて、常に自分の行動が誰かに見張られていると言っても過言ではありません。今回の事件は、まさにこれが現実になったということです。従来型の携帯電話では、起こり得なかったことです。今回の事件の容疑者は、このアプリをスマホの持ち主の許可を得ることなく勝手にインストールしていたとのことです。

このようなアプリが自分のスマホに勝手にインストールされないようにするには、どうすれば良いでしょうか。答えは簡単です。簡単に他人に触られないようにすればいいのです。スマホには、「画面ロック」機能があります。ところが、IPAの「2013年度 情報セキュリティに対する意識調査」報告書(http://www.ipa.go.jp/security/fy25/reports/ishiki/index.html)によると、パスワードやパターン、顔認証などによる画面ロック機能を活用している人は、たった22.5%しかいませんでした。みなさん、今からでも遅くはありません。今すぐ、画面ロック機能を活用しましょう!

さて、画面ロックを活用すれば、それで全て解決・・・・じゃないんですよ、奥さん! これを見てください。

201404column002-thumb-300x401-557

【Androidの場合】

201404column003-thumb-300x495-561

【iPhoneの場合】

どうですか? 何だか、ロックが意味無いように見えませんか? なお、Android端末では「顔認識でロック解除」出来る機能がありますが、自分の生顔じゃなくても、自分の顔写真をかざすだけでロックが解除出来ちゃったことも、報告しておきます。

では、どんな方法で画面ロックすれば良いのでしょうか。ここでは、一つの例を示します。たとえば、テンキーを使うとしても、以下のようにパスワードを設定すれば、指の痕が読み取られても、すぐにロック解除されてしまうことは防げるでしょう。
・桁数が分からないようにし、出来るだけ長くする。
・同じ数字を、パスワードの中で複数回使う。(例:122341)

201404column005-thumb-300x532-565201404column006-thumb-300x537-567

【Androidの場合】           【iPhoneの場合】

iPhoneの場合は、「パスコードの入力に10回失敗するとiPhone上のすべてのデータが消去される」という設定をしておくと、より安全になります。ただし、iCloudなどにデータをバックアップしておくことを忘れずに!
 
スマートフォンセキュリティの第一歩は、適切な画面ロックから!

※SPREADサポーター向けメールマガジンのコラムとして書かれたものをWebに掲載しています。

SPREAD事務局より
便利な機能も本来の利用法とは違う使い方で悪用されてしまうことがあるんですね。スマホはとても便利ですが悪用されないために私たちができることについてもきちんと知っておく必要を感じました。また、自分だけではなく、お子さんだったり、彼氏・彼女、家族にも伝えて、みんなが安心して便利に使いたいですね!画面ロックについては…時々ちゃんとスマホの画面を拭こう!と思いました(笑)。SPREADでは安全なICT利用のためのちょっとした情報もご紹介しています。happy01