Pocket

※任意団体SPREAD当時に公開されたコラムです。

IPA セキュリティセンター 調査役 加賀谷 伸一郎氏

SPREADの特別会員IPA(独立行政法人 情報処理推進機構)セキュリティセンター加賀谷さんのセキュリティコラム連載4回目です!
加賀谷さんのおもしろセキュリティ話は次回も続きます!お楽しみに! happy02

スマホにおかしなアプリを入れてなくても、ストーカー被害に遭っちゃうってホント?!

皆さん、こんにちは。連載第3回目の前回は、スマホに勝手にインストールされたアプリによって外部から行動を監視されていた、つまりストーカー被害に遭っていた事件について、解説しました。その恐怖をふまえ、皆さんは、既にスマホにキッチリと画面ロックを掛けるとともに、他人にスマホを触らせる時でもおかしなアプリを入れられないように注意するようになっていると思います!

さて、おかしなアプリを入れられないように気を付けていれば、ストーカー被害には遭わない・・・・訳じゃないんですよ、奥さん! まだまだ気を付けなければならないことがあります。それは、「スマートフォンに紐付いているアカウント情報」です。具体的に言うと、iPhoneの場合はApple IDとそのパスワード。Androidの場合はGoogleアカウント、すなわちGmailアドレスとそのパスワード、です。

それでは、「スマートフォンに紐付いているアカウント情報」が他人に知られていると、どんなことが起きるのでしょうか。例を見ていきましょう。

iPhoneを使っている人のApple IDとそのパスワードが分かれば、インターネット上にあるApple社の「iCloud」サイトにログイン出来ます。以下が、パソコンのブラウザからログインした様子です。

20140523_001-thumb-400x268-569

「メール」「連絡先」「カレンダー」「メモ」「iPhoneを探す」などというアイコンが並んでいます。勘の鋭い読者さんなら、もうお気付きですよね! そうです。iPhoneが手元に無くても、パソコン上でiPhoneに届いたメールを読めたりiPhoneの連絡先を見たりカレンダーで予定を確認したりすることが出来るんです。これは、本来はスマホの持ち主のための機能ですが、Apple IDとそのパスワードを知っている人であれば、誰でも使えてしまいます。例えば、「カレンダー」や「iPhoneを探す」をクリックすると、以下のような画面が表示されます。

20140523_002-thumb-400x238-572

20140523_003-thumb-400x293-575

これらの画面を見てお分かりのように、自分のスケジュールや現在地がバレバレです。もし、ストーカーさんがこんな情報を手に入れていたら・・・怖いですね!! そうならないためにも、Apple IDのパスワードは、決して他人に教えてはいけません。

次にAndroidの場合はどうでしょうか。Googleアカウントは、Googleの様々なサービスに共通で使われます。つまり、Googleアカウント情報(Gmailアドレスとそのパスワード)が誰かに知られれば、Androidスマホが手元に無くても、パソコン上でGoogleの様々なサービスが勝手に使われてしまうということは、想像に難くないですね。以下に、例を示します。

メールを読まれたり・・・
20140523_004-thumb-400x248-578

スケジュールを見られたり・・・
20140523_005-thumb-400x248-581

現在地を知られたり・・・
20140523_006-thumb-400x248-584

これだけお見せすれば、十分に恐ろしさが分かったと思います。が、あえてもっと見せちゃいます。過去の移動履歴まで見られちゃうのです!!
※注)これらは、全て筆者の出張の軌跡です(笑)。
20140523_007-thumb-400x253-587

こうならないためにも、Apple ID同様、Googleアカウント情報、特にGmailのパスワードは絶対に他人に教えてはいけません。

どうですか? 「スマートフォンに紐付いているアカウント情報」が他人に知られてしまうと、もうそれだけでストーカーされまくりだということがお分かりいただけたかと思います。対策としては、前述したように、他人にアカウント情報、特にパスワードは教えてはならないということです。

でも、iPhoneの場合は、アプリをインストールしようとすると必ずパスワードを入力する必要があります。もし、他人にアプリのインストールを依頼する必要がある場合はどうしましょう? その一方でAndroidの場合は、スマホの初期設定の時くらいしかパスワードを入力する機会は無いでしょう。でも、スマホを買って最初から設定をお願いしちゃう場合はパスワードを知らせる必要があります。どうしたら良いでしょうか。
答えの一例を挙げておきます。例えば・・・

・パスワードはスマホの持ち主本人が入力するようにする
・パスワードをあらかじめ仮のものに変更しておいた上でスマホを他人に操作して
もらい、その後、また元のパスワードに戻す

というようにすると良いでしょう。今後のために、パスワード変更の手続き方法をあらかじめ調べておくと良いでしょう。

今回は、ここまで!・・と言いたいところですが、まだ終わりじゃないんですよ、奥さん! 言うまでもありませんが、推測が容易な文字列や桁数が少ない文字列は、パスワードにしてはいけません。総当たり攻撃や辞書攻撃によって、簡単に解読されてしまいます。また、パスワードを他人に教える訳ないじゃん!って人でも、油断しがちなのが「パスワードの使い回し」です。最近、パスワードリスト攻撃による被害報道が相次いでいます。パスワードリスト攻撃とは、悪意のある者が、何らかの方法で事前に入手したIDとパスワードのリストを流用し、自動的に連続入力するプログラムなどを用いてそれらIDとパスワードを他のサイトのログイン画面で入力することで、ウェブサイトにログインを試みる手口です(図参照)。

20140523_008-thumb-400x304-590

一般的には、セキュリティ対策が不十分であるサイトが狙われて奪われたIDとパスワードが、他の有名サイトなどでログイン試行されることが多いです。みなさん、たくさんのウェブサービスをお使いでしょうが、パスワードの使い回しは避けましょうね! 以下の情報を参考にしてください。

IPA:2013年8月の呼びかけ
「 全てのインターネットサービスで異なるパスワードを! 」
https://www.ipa.go.jp/security/txt/2013/08outline.html

※SPREADサポーター向けメールマガジンのコラムとして書かれたものをWebに掲載しています。