あなたは、スマホを落としたことがありますか?
もし、あなたがスマホを落としてしまったら。あなたの身近な人がスマホを落としてしまったら。
そのとき、どんなリスクがあるのかを想像してみたことはありますか…?
2018年10月に行われた、映画「スマホを落としただけなのに」のYahoo!映画レビュアー試写会で実施したアンケートによると、これまでにスマホを落とした(置き忘れた)経験のある人は、男性58%、女性43%でした。
スマホを「落とさない」「置き忘れない」よう気をつけるだけでなく、「もしスマホを落としたら」起こるかもしれないことを事前に知っておくことも、自分の個人情報や周囲の人の情報を守るために大切です。
2018年10月30日、映画「スマホを落としただけなのに」の公開を記念して、映画監督の中田秀夫さん、原作者の志駕晃(しがあきら)さん、そしてソフトバンク・テクノロジー株式会社のセキュリティ専門家、辻伸弘さんをお招きし、セキュリティトークイベントを開催。
セキュリティのプロである辻さんに、スマホを使用する上でのリスクやその対策を教えていただきました。
落としたスマホを守れるのはパスワードロックだけ
もしスマホを落としてしまったら、そのスマホを守るものはパスワードロックしかありません。パスワードがもれることが一番のリスクなので、とにかく次の2点を守っていただきたいです。
1)人に推測されない長いパスワードを設定する
2)パスワードを使いまわさない
この映画でも「スマホのロックさえ外されなければこんなことにならなかったのに」ということがたくさん起きています。
また、同じパスワードを複数のサービスで使っていると、どれか1つのサービスでパスワードがもれてしまうと他のサービスもやられてしまうので、必ずそれぞれ違うパスワードを設定してください。
ちなみに「パスワードをログイン先によって変えると忘れてしまう」という人がいますが、覚える必要はありません。紙に書けばいいんです。
「パスワードを紙に書いてはいけない」と思っている人も多いようですが、これは「パスワードを書いた紙を誰にでも見える状態にしてはいけない」というのが、いつの間にか「紙に書いてはいけない」に変わってしまっただけ。むしろ紙に書いておくことで、パスワードの使いまわしがなくなる、落としたり盗まれたりしたら気づきやすい、というメリットがあります。
もし、紙にパスワードをそのまま書くのが不安なら、たとえばパスワードの最初と最後の文字だけは書かずに、その2文字だけ覚えておくという方法もあります。
この方法で、60代の僕の母も問題なくパスワードを管理できています。
推測されにくい「強い」パスワードをつくるには
映画のなかで、彼のスマホ(他人に拾われたスマホ)に主人公である麻美が電話をかけるシーンがあります。このとき、彼女のフルネームが待ちうけ画面に表示されていました。
Facebookでこのフルネームを検索して(結果から)たどっていくことで、誕生日やペットの名前、友だちや恋人、家族の誕生日などが知られてしまう可能性があります。そして、その誕生日や名前を組み合わせてパスワードを探ってみるというのは、比較的かんたんに誰にでもできることだと思います。
それを避けるためには、
1)連絡先を本名ではなく名字と会社名の組み合わせや、ニックネームで登録する
2)自分の誕生日や名前を組み合わせたり、恋人や家族の誕生日を使ったパスワードにしない
などの対策ができると思います。
また、推測されにくい長いパスワードを考えるのが難しいという方は、自分にとってなじみのある単語をいくつか並べてみてください。そして、その単語の間を決まった記号でつなげてみるという方法なら、やりやすいのではないでしょうか。
パスワードを取得するための攻撃方法
1)ブルートフォースアタック(総当たり攻撃)
1つのIDに対して、次々にパスワードを当てていく方法。たとえば4桁のパスワードであれば、1万回やればいずれ当たります。
2)リバースブルートフォースアタック
さまざまなサイバー攻撃により流出したパスワードのランキング(※1)が毎年出るのですが、だいたい「123456」「123456789」「asdfghjk」(キーボードの並び)のようなものが上位を占めています。これらのパスワードを設定している人が多いということになるため、これに当てていくメールアドレスなどのIDを変えるというもの。これは、弱いパスワードを設定している人を一網打尽にできてしまう攻撃手法。さらにこの方法だと失敗回数によって攻撃者がアクセスロックをされることも避けられます。
※1:2017年公表、日本史上最悪のパスワードが決定。第一位は?!
3)ディクショナリアタック(辞書攻撃)
これは、人が設定しそうなパスワードを収録したファイル(辞書ファイル)を用いてパスワード突破を試みる手法です。
4)パスワードリスト攻撃
A、B、Cのサービスでパスワードを使いまわしていると、Aのパスワードが漏えいしたらB、Cのサービスにもログインされてしまうというものです。
将来的には、パスワードなしでログインができる「パスワードレス」の世の中になっていくことが理想です。ですが、まだすべてのサービスにおいてパスワードレス対応が可能な環境までには至っていません。
そうした現状を踏まえると、今僕たちができるのは、安易なパスワードを設定することと使いまわしをやめること。そして、サービス提供側は漏えいをしないよう努め、もしも漏えいした際には速やかに公表することが大切です。
パスワードが漏えいしたときのリスク
ID、パスワードがもれてしまった場合、以下のようなリスクが考えられます。
1)自分のアイデンティティーが証明できなくなる
たとえば、TwitterやFacebookを乗っ取られてしまった場合、犯人がおかしな投稿をしたとしても、それを自分が投稿していないという証明が困難になります。その投稿によって、親しい人との関係がこわれたり、信用失墜につながったりするかもしれません。これは、SNSを使う時代ならではの犯罪だと思います。
2012年にマット・ホーナンという記者がTwitterアカウントを乗っ取られた事件(※2)がありました。彼のノートパソコンとiPhone、iPadからデータ、Gmailアカウントから8年分の電子メールを消去した犯人の動機は、マット・ホーナンが持っていたTwitterアカウント「@mat」が欲しかったからだそうです。攻撃者の動機は、僕たちが理解できる理由とは限りません。
※2:WIRED記者の悲劇から学ぶ「セキュリティ9つの常識」
2)企業における被害
BEC(Business E-mail Compromise:ビジネスメール詐欺)というものがあります。たとえば、フィッシングサイトでID、パスワードを盗んで、クラウドでメールを見たり、他の会社への請求書のコピーを取ったりできたとします。
A社がB社へ請求書を送ったことを攻撃者が察知したら、A社のふりをしてB社に連絡して「先ほどの振込先は間違いでした、正しい振込先はこちらです」と自分たちの口座にお金を振り込ませるということもできます(※3)。
※3:JAL3.8億円詐欺被害 ビジネスメールに割り込み偽請求(読売新聞)
フィッシングサイトのリスクとは
先ほどパスワードについて守っていただきたいとお伝えしたのは「推測されないものにしましょう」「使いまわさないようにしましょう」というものでした。それに対して、フィッシングサイトは偽ものサイトをつくって誘導し、IDとパスワードを入れさせるというもの。この場合、自分でパスワードを入力しているので、どれだけ強固なパスワードを設定していても、そのものが盗まれてしまいます。
銀行のサイトやショッピングサイトに見せかけたフィッシングサイトがつくられることが多いというイメージがあるかもしれませんが、最近増えているのはクラウドサービスのフィッシングサイト。そこでIDとパスワードをとられると、メールやアップしているファイルを全部見られてしまいます。
ちなみに、メールアカウントがとられてしまうとパスワードをリセットすることもできてしまうので、メールアカウントはとにかく守ってほしいです。
最近では、こうしたサービスでは二要素、二段階認証の導入が進んでいます。パスワードを仮に突破されても大丈夫なように、面倒だとは思いますが一度だまされたと思って活用してみてください。
今回の映画でも犯人がフィッシングサイトを利用させるシーンがありました。上手だと思ったのは、実際のシーンを見ていただきたいので詳細は避けますが、あらかじめ知り合いだと思わせ信頼させてからその人が欲しがっているものを売ったこと。このように信頼関係をつくって外堀を埋めて人の心理を手玉に取ることを、「ソーシャルエンジニアリング」と呼びます。
たとえば、LINEの乗っ取りもそうです。知らない人から突然「モノを買ってください」と連絡がきたら拒否する人がほとんどだと思いますが、もし、友だちとしてつながっている人のアカウントが乗っ取られていたら、すでにその人との信頼関係があるので信じてしまうのではないでしょうか。
「モニターの前、スマホの前にいるのは、もしかしたらその人ではないかもしれない。表示されているアイコン、文字、画像はその人を証明するとは限らない」ということを覚えておいてください。
スマホを落としていなくても安全とは限らない
自分がスマホをなくさなければ、スマホの中に入っているデータを確実に守れるわけではありません。先ほど言ったように、もしクラウドを乗っ取られたら、スマホが自身の手元にあったとしてもスマホの中身にアクセスされたのと同様の状態となってしまう可能性があります。その場合はたとえスマホを落としていなくても、落としたのと同じくらいの被害を受けるかもしれません。
また、悪意を持った人が複数のスマホを持っていれば、そのうちの1台を他の人のかばんにこっそり入れ「iPhoneを探す」などのアプリや機能を使うことで相手の家を知ることもできてしまいます。
使わなくなったスマホを自宅で目覚ましにしたり、Wi-Fi専用にして使う方もいると思いますが、そのスマホにたとえば「音が何デシベル以上になったら録音する」「カメラの前を横切ったら撮影する」アプリを入れられてしまったら、録音や撮影されたファイルを取られるという可能性もあります。
企業のセキュリティ対策とは
企業のセキュリティについてアドバイスをさせていただく際に、僕がよく言うキーワードが2つあります。
一つ目が、「あきらめてください」。
これは決してネガティブな言葉ではありません。仏教用語からきているのですが「見極める」「明らかにする」という意味です。
(セキュリティについて)「あれもやった」「これもやった」「最善を尽くした」「人も時間もお金も使ってやったけど、これ以上は無理」というラインを決めること。また、今年はここまでやろう、来年はここまでやろうと決めることも有効だと思います。まずは一歩を踏み出してみてください。
二つ目は、「守りたいものは何か、どこにあるか」。
会社によって大事な情報は違うので、まず、守りたいものはどこにあるか、どんな情報なのかを決めること、自分たちが(セキュリティ対策において)何ができていて、何ができていないかを知ることが第一歩になると思います。
※この記事は10月30日に開催したイベントと、辻さんへのインタビュー内容をまとめたものです。
辻 伸弘(つじ のぶひろ)さん
ソフトバンク・テクノロジ―株式会社 プリンシパルセキュリティリサーチャー。
セキュリティに関する事件・事故を調査するセキュリティリサーチ、エバンジェリストとして執筆や講演などで活動中。一般ユーザーにもわかりやすい解説には定評がある。
出演など:
「ホンマでっか!?TV」(フジテレビ)
「anan」(マガジンハウス)
執筆:
「あなたの知らないセキュリティの非常識」(日経BP社)
「あなたのセキュリティ対応間違っています」(日経BP社)
【映画「スマホを落としただけなのに」】
監督:中田秀夫
原作:志駕晃「スマホを落としただけなのに」(宝島社文庫)
出演:北川景子 千葉雄大 成田凌 田中圭ほか
公式サイト:http://sumaho-otoshita.jp/
大ヒット公開中
あなたの全てを知っている存在。それは家族でも恋人でもなく…スマホです。
無名の新人・志駕晃によるデビュー作「スマホを落としただけなのに」(宝島社文庫)は、SNS時代を代表する一作として映画化のオファーが各社から殺到。読者からは「怖すぎる!」「もうスマホは落とさない…」などの声が上がり、日本の総人口を超えるスマホが存在する現代において、その身近すぎるテーマが早くも話題となっています。あなたの個人情報は守られていますか? SNSでつながっている友人は果たして本当の友達ですか? 全てのスマホユーザー必見、触れてはいけないSNSミステリーが誕生。