見出し画像

「もしスマホを落としてしまったら…」スマホのセキュリティ対策

Yahoo! JAPAN(ヤフー)

あなたは、スマホを落としたことがありますか?
もし、あなたがスマホを落としてしまったら。あなたの身近な人がスマホを落としてしまったら。
そのとき、どんなリスクがあるのかを想像してみたことはありますか…?

スマホを「落とさない」「置き忘れない」よう気をつけるだけでなく、「もしスマホを落としたら」起こるかもしれないことを事前に知っておくことも、自分の個人情報や周囲の人の情報を守るために大切です。

ソフトバンク・テクノロジー株式会社のセキュリティ専門家、辻伸弘さんから、スマホを使用する上でのリスクやその対策を教えていただきました。

落としたスマホを守れるのはパスワードロックだけ

もしスマホを落としてしまったら、そのスマホを守るものはパスワードロックしかありません。パスワードがもれることが一番のリスクなので、とにかく次の2点を守っていただきたいです。

1)人に推測されない長いパスワードを設定する
2)パスワードを使いまわさない

また、同じパスワードを複数のサービスで使っていると、どれか1つのサービスでパスワードがもれてしまうと他のサービスもやられてしまうので、必ずそれぞれ違うパスワードを設定してください。

ちなみに「パスワードをログイン先によって変えると忘れてしまう」という人がいますが、覚える必要はありません。紙に書けばいいんです
「パスワードを紙に書いてはいけない」と思っている人も多いようですが、これは「パスワードを書いた紙を誰にでも見える状態にしてはいけない」というのが、いつの間にか「紙に書いてはいけない」に変わってしまっただけ。
むしろ紙に書いておくことで、パスワードの使いまわしがなくなる、落としたり盗まれたりしたら気づきやすい、というメリットがあります。
もし、紙にパスワードをそのまま書くのが不安なら、たとえばパスワードの最初と最後の文字だけは書かずに、その2文字だけ覚えておくという方法もあります。
この方法で、60代の僕の母も問題なくパスワードを管理できています。

画像1

(パスワードを書いた付箋をパソコンに貼るのはNGです)

推測されにくい「強い」パスワードをつくるには

たとえば、Facebookでこのフルネームを検索して(結果から)たどっていくことで、誕生日やペットの名前、友だちや恋人、家族の誕生日などが知られてしまう可能性があります。そして、その誕生日や名前を組み合わせてパスワードを探ってみるというのは、比較的かんたんに誰にでもできることだと思います。
それを避けるためには、

1)連絡先を本名ではなく名字と会社名の組み合わせや、ニックネームで登録する
2)自分の誕生日や名前を組み合わせたり、恋人や家族の誕生日を使ったパスワードにしない

などの対策ができると思います。
また、推測されにくい長いパスワードを考えるのが難しいという方は、自分にとってなじみのある単語をいくつか並べてみてください。そして、その単語の間を決まった記号でつなげてみるという方法なら、やりやすいのではないでしょうか。

画像2

パスワードが漏えいしたときのリスク

ID、パスワードがもれてしまった場合、以下のようなリスクが考えられます。

1)自分のアイデンティティーが証明できなくなる
たとえば、TwitterやFacebookを乗っ取られてしまった場合、犯人がおかしな投稿をしたとしても、それを自分が投稿していないという証明が困難になります。その投稿によって、親しい人との関係がこわれたり、信用失墜につながったりするかもしれません。これは、SNSを使う時代ならではの犯罪だと思います。
2012年にマット・ホーナンという記者がTwitterアカウントを乗っ取られた事件(※2)がありました。彼のノートパソコンとiPhone、iPadからデータ、Gmailアカウントから8年分の電子メールを消去した犯人の動機は、マット・ホーナンが持っていたTwitterアカウント「@mat」が欲しかったからだそうです。攻撃者の動機は、僕たちが理解できる理由とは限りません。
※2:WIRED記者の悲劇から学ぶ「セキュリティ9つの常識」

2)企業における被害
BEC(Business E-mail Compromise:ビジネスメール詐欺)というものがあります。たとえば、フィッシングサイトでID、パスワードを盗んで、クラウドでメールを見たり、他の会社への請求書のコピーを取ったりできたとします。
A社がB社へ請求書を送ったことを攻撃者が察知したら、A社のふりをしてB社に連絡して「先ほどの振込先は間違いでした、正しい振込先はこちらです」と自分たちの口座にお金を振り込ませることもできます(※3)。
※3:JAL3.8億円詐欺被害 ビジネスメールに割り込み偽請求(読売新聞)

画像3

フィッシングサイトのリスクとは

先ほどパスワードについて守っていただきたいとお伝えしたのは「推測されないものにしましょう」「使いまわさないようにしましょう」というものでした。それに対して、フィッシングサイトは偽ものサイトをつくって誘導し、IDとパスワードを入れさせるというもの。この場合、自分でパスワードを入力しているので、どれだけ強固なパスワードを設定していても、そのものが盗まれてしまいます。
銀行のサイトやショッピングサイトに見せかけたフィッシングサイトがつくられることが多いというイメージがあるかもしれませんが、最近増えているのは、クラウドサービスのフィッシングサイト。そこでIDとパスワードをとられると、メールやアップしているファイルを全部見られてしまいます。
ちなみに、メールアカウントがとられてしまうとパスワードをリセットすることもできてしまうので、メールアカウントはとにかく守ってほしいです。
最近では、こうしたサービスでは二要素、二段階認証の導入が進んでいます。パスワードを仮に突破されても大丈夫なように、ぜひ一度活用してみてください。

また、あらかじめ知り合いになって信頼させ、外堀を埋めて人の心理を手玉に取ることを「ソーシャルエンジニアリング」と呼びます。
たとえば、LINEの乗っ取りもそうです。知らない人から突然「モノを買ってください」と連絡がきたら拒否する人がほとんどだと思いますが、もし、友だちとしてつながっている人のアカウントが乗っ取られていたら、すでにその人との信頼関係があるので信じてしまうのではないでしょうか。

「モニターの前、スマホの前にいるのは、もしかしたらその人ではないかもしれない。表示されているアイコン、文字、画像はその人を証明するとは限らない」ということを覚えておいてください。

画像4

企業のセキュリティ対策とは

僕が企業のセキュリティについてアドバイスをさせていただく際に、僕がよく言うキーワードが2つあります。
一つ目が、「あきらめてください」
これは決してネガティブな言葉ではありません。仏教用語からきているのですが「見極める」「明らかにする」という意味です。
(セキュリティについて)「あれもやった」「これもやった」「最善を尽くした」「人も時間もお金も使ってやったけど、これ以上は無理」というラインを決めること。また、今年はここまでやろう、来年はここまでやろうと決めることも有効だと思います。まずは一歩を踏み出してみてください。

二つ目は、「守りたいものは何か、どこにあるか」
会社によって大事な情報は違うので、まず、守りたいものはどこにあるか、どんな情報なのかを決めること、自分たちが(セキュリティ対策において)何ができていて、何ができていないかを知ることが第一歩になると思います。

画像5

辻 伸弘(つじ のぶひろ)さん
ソフトバンク・テクノロジ―株式会社 プリンシパルセキュリティリサーチャー。セキュリティに関する事件・事故を調査するセキュリティリサーチ、エバンジェリストとして執筆や講演などで活動中。一般ユーザーにもわかりやすい解説には定評がある。

文・写真・イラスト/Yahoo! JAPANコーポレートブログ編集部